Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,299
- Points
- 113
По мере того как двухфакторная аутентификация становится все более распространенной, преступники ищут новые способы ее подорвать. Вот что вам нужно знать.
Многофакторная аутентификация (MFA) по-прежнему воплощает в себе как лучшие, так и худшие из практик ИТ-безопасности бизнеса. Как писал Роджер Граймс в статье о двухфакторных взломах три года назад, когда MFA реализована хорошо, она может быть эффективной, но когда ИТ-менеджеры сокращают путь, это может обернуться катастрофой. И хотя все больше компаний используют больше методов MFA для защиты логинов пользователей, это все еще далеко не универсально. Действительно, согласно опросу, проведенному Microsoft в прошлом году, 99,9% скомпрометированных учетных записей вообще не использовали MFA, и только 11% корпоративных учетных записей защищены каким-либо методом MFA.
Пандемия была как хорошей, так и плохой для поглощения MFA. Искоренив обычные вычислительные схемы стольких бизнес-пользователей, блокировки и удаленная работа предоставили возможность для увеличения числа развертываний MFA - даже несмотря на то, что они предоставили новые фишинговые приманки для хакеров.
Согласно опросам, проведенным Гарреттом Беккером, старшим аналитиком из 451 Research S&P Global Market Intelligence, количество предприятий, использующих MFA, резко увеличилось - примерно с половины в опросе прошлого года до 61% в опросе этого года - «в основном потому, что так много больше людей работали удаленно. Тем не менее, большинство предприятий имеют ограниченное использование MFA », - говорит он. «Но в будущем это стало их первоочередной задачей, даже больше, чем VPN».
В последнем отчете Verizon о расследовании утечек данных Бернард Уилсон, менеджер по реагированию на вторжения в сети Секретной службы США, сказал: «Организации, которые не реализовали MFA, наряду с виртуальными частными сетями, составили значительный процент жертв, ставших жертвами пандемии».
Помимо COVID, были и другие недавние попытки использовать MFA:
Вот несколько способов, которыми злоумышленники используют слабые места в MFA.
5 основных методов атаки MFA
Атаки типа "злоумышленник посередине" на основе SMS. Самая большая проблема с MFA связана с его наиболее распространенной реализацией: использованием одноразовых кодов доступа по SMS.
Слабость связана с легкостью, с которой хакеры могут взломать смартфоны пользователей и временно присвоить номер телефона телефону, находящемуся под их контролем. Один из способов использования этого был проиллюстрирован в этом твите, в котором одноразовый аппаратный брелок RSA SecurID сочетается с общедоступной веб-камерой. Хотя это может быть крайним случаем, компрометация SMS продолжает подрывать общую полезность входа в MFA.
Есть несколько способов выполнить эту атаку. Один из них - подкупить или убедить оператора сотовой связи переназначить телефон. Другой метод был предложен собственным репортером Vice, который использовал коммерческую услугу, чтобы получить доступ к своему сотовому аккаунту. Заплатив за услугу 16 долларов, он смог перенаправить все свои SMS-сообщения, продемонстрировав, насколько легко было бы взломать его учетные записи.
Атаки на цепочку поставок. Самой печально известной атакой на цепочку поставок программного обеспечения за последнее время была атака SolarWinds, при которой были заражены различные компоненты кода, и целевые компании загружали эти части, не зная, что они были скомпрометированы. Существует множество способов предотвратить эти атаки, в том числе сканирование исходного кода во время выполнения.
Кейси Панетта из Gartner написала в своем блоге в январе 2021 года: «Имейте в виду, что атака SolarWinds была обнаружена оператором службы безопасности, который задавался вопросом, почему сотрудник хотел, чтобы второй телефон был зарегистрирован для многофакторной аутентификации. Это означало бы, что злоумышленник стремился использовать личность, и в частности MFA, в качестве вектора атаки».
Эти атаки продолжают оставаться проблемой, одна из которых была обнаружена в апреле компанией Codecov для своего инструмента Bash Uploader. Учетные данные для аутентификации были изменены хакером из-за слабой защиты образа Docker. Инструмент изменил переменные среды, вставленные в код, и одним из способов отслеживания этого было отслеживание IP-адресов назначения командных и управляющих серверов.
Взломанный обход рабочего процесса аутентификации MFA. Еще одна лазейка в MFA - это пример уязвимости отказа в обслуживании в модуле MFA в Liferay DXP v7.3. Недавно обнаруженная ошибка позволяет любому зарегистрированному пользователю проходить аутентификацию, изменяя одноразовые пароли пользователей, что приводит к блокировке целевого пользователя. С тех пор это было исправлено.
Атаки с передачей cookie. Это еще один метод атаки, в котором используются файлы cookie браузера и сайты, хранящие данные аутентификации в файлах cookie. Первоначально это было сделано для удобства пользователей, чтобы пользователи могли оставаться в своих приложениях. Если хакеру удастся извлечь эти данные, он сможет захватить вашу учетную запись.
Подделки на стороне сервера. Возможно, самый крупный эксплойт в недавней истории, хотя и не только проблема MFA, был назван Hafnium, который использует серию атак, включая подделку на стороне сервера и ошибку записи произвольных файлов, чтобы полностью аннулировать всю аутентификацию на серверах Microsoft Exchange. Атака включает четыре уязвимости нулевого дня в Exchange. Microsoft выпустила серию исправлений.
Правильная двухфакторная аутентификация
Это лишь некоторые из наиболее заметных эксплойтов. Подразумевается, что MFA требуется некоторая осторожность, чтобы сделать это правильно и безопасно. «Плохая MFA похожа на дешевые солнцезащитные очки», - говорит Беккер из 451, имея в виду, что плохой MFA мало что предлагает в плане киберзащиты. «Тем не менее, самая большая проблема, почему он не используется чаще предприятиями, - это плохой пользовательский интерфейс».
Он указывает на другую проблему: «MFA по-прежнему является бинарным выбором, как вышибала в ночном клубе: оказавшись внутри корпоративной сети, вы можете делать то, что хотите, и никто на самом деле не знает, что вы делаете. Чтобы быть эффективным, MFA должен сочетаться с технологиями нулевого доверия и непрерывной аутентификации ». Многие поставщики теперь объединяют продукты MFA и адаптивной аутентификации, но их реализация далеко не проста.
Вариант восстановления учетной записи заслуживает дальнейшего обсуждения. Многие компании имеют надежную защиту MFA для обычного входа в учетную запись, но если пользователь забывает свой пароль, процесс восстановления начинается с отправки пароля по SMS. Вот как хакеры могут проникнуть в вашу сеть.
Герхард Гизе из Akamai указывает на это в прошлогоднем сообщении в блоге, когда говорит о том, что MFA не всегда предотвращает заполнение учетных данных. Он говорит, что ИТ-менеджерам необходимо «пересмотреть ваши рабочие процессы аутентификации и экраны входа в систему, чтобы убедиться, что злоумышленник не может раскрыть действительные учетные данные, запросив ответ веб-сервера, и внедрить решение для управления ботами, чтобы убедиться, что вы не упрощаете жизнь плохим ребятам".
В начале этого года CERT США выпустил предупреждение о потенциальных слабостях MFA, включая попытки входа в систему с помощью фишинга и грубой силы. Они рекомендовали различные методы, в том числе принудительное применение MFA для всех операций аутентификации, включая восстановление учетной записи, а также повышенную безопасность привилегированного доступа.
Технология MFA должна быть частью критически важной инфраструктуры корпоративной безопасности. Недавние атаки, а также призывы экспертов в правительстве и частном секторе должны дать дополнительный импульс для интеллектуальных внедрений.
Многофакторная аутентификация (MFA) по-прежнему воплощает в себе как лучшие, так и худшие из практик ИТ-безопасности бизнеса. Как писал Роджер Граймс в статье о двухфакторных взломах три года назад, когда MFA реализована хорошо, она может быть эффективной, но когда ИТ-менеджеры сокращают путь, это может обернуться катастрофой. И хотя все больше компаний используют больше методов MFA для защиты логинов пользователей, это все еще далеко не универсально. Действительно, согласно опросу, проведенному Microsoft в прошлом году, 99,9% скомпрометированных учетных записей вообще не использовали MFA, и только 11% корпоративных учетных записей защищены каким-либо методом MFA.
Пандемия была как хорошей, так и плохой для поглощения MFA. Искоренив обычные вычислительные схемы стольких бизнес-пользователей, блокировки и удаленная работа предоставили возможность для увеличения числа развертываний MFA - даже несмотря на то, что они предоставили новые фишинговые приманки для хакеров.
Согласно опросам, проведенным Гарреттом Беккером, старшим аналитиком из 451 Research S&P Global Market Intelligence, количество предприятий, использующих MFA, резко увеличилось - примерно с половины в опросе прошлого года до 61% в опросе этого года - «в основном потому, что так много больше людей работали удаленно. Тем не менее, большинство предприятий имеют ограниченное использование MFA », - говорит он. «Но в будущем это стало их первоочередной задачей, даже больше, чем VPN».
В последнем отчете Verizon о расследовании утечек данных Бернард Уилсон, менеджер по реагированию на вторжения в сети Секретной службы США, сказал: «Организации, которые не реализовали MFA, наряду с виртуальными частными сетями, составили значительный процент жертв, ставших жертвами пандемии».
Помимо COVID, были и другие недавние попытки использовать MFA:
- В прошлом месяце Google сделал MFA защитой по умолчанию для всех своих учетных записей пользователей. Мэтт Тейт (бывший аналитик британского GCHQ, ныне работающий в Corellium) назвал этот шаг «одним из самых важных улучшений в области кибербезопасности в этом десятилетии».
- В июне 2020 года Apple объявила, что Safari 14, выпущенный в сентябре и поставляемый с iOS 14 и macOS Big Sur, будет поддерживать протоколы FIDO2, присоединившись к Android и большинству других основных браузеров. FIDO продолжает совершенствоваться, даже несмотря на то, что его реализации потребуют тщательного изучения для развертывания в браузерах, различных версиях ОС и приложениях для смартфонов.
- Кроме того, в недавнем указе президента Байдена о повышении кибербезопасности страны содержится призыв к развертыванию MFA : «В течение 180 дней с даты этого приказа [исполнительные] агентства должны внедрить MFA и шифрование для данных в состоянии покоя и в пути». Этот крайний срок приходится на середину августа 2021 года.
Вот несколько способов, которыми злоумышленники используют слабые места в MFA.
5 основных методов атаки MFA
Атаки типа "злоумышленник посередине" на основе SMS. Самая большая проблема с MFA связана с его наиболее распространенной реализацией: использованием одноразовых кодов доступа по SMS.
Слабость связана с легкостью, с которой хакеры могут взломать смартфоны пользователей и временно присвоить номер телефона телефону, находящемуся под их контролем. Один из способов использования этого был проиллюстрирован в этом твите, в котором одноразовый аппаратный брелок RSA SecurID сочетается с общедоступной веб-камерой. Хотя это может быть крайним случаем, компрометация SMS продолжает подрывать общую полезность входа в MFA.
Есть несколько способов выполнить эту атаку. Один из них - подкупить или убедить оператора сотовой связи переназначить телефон. Другой метод был предложен собственным репортером Vice, который использовал коммерческую услугу, чтобы получить доступ к своему сотовому аккаунту. Заплатив за услугу 16 долларов, он смог перенаправить все свои SMS-сообщения, продемонстрировав, насколько легко было бы взломать его учетные записи.
Атаки на цепочку поставок. Самой печально известной атакой на цепочку поставок программного обеспечения за последнее время была атака SolarWinds, при которой были заражены различные компоненты кода, и целевые компании загружали эти части, не зная, что они были скомпрометированы. Существует множество способов предотвратить эти атаки, в том числе сканирование исходного кода во время выполнения.
Кейси Панетта из Gartner написала в своем блоге в январе 2021 года: «Имейте в виду, что атака SolarWinds была обнаружена оператором службы безопасности, который задавался вопросом, почему сотрудник хотел, чтобы второй телефон был зарегистрирован для многофакторной аутентификации. Это означало бы, что злоумышленник стремился использовать личность, и в частности MFA, в качестве вектора атаки».
Эти атаки продолжают оставаться проблемой, одна из которых была обнаружена в апреле компанией Codecov для своего инструмента Bash Uploader. Учетные данные для аутентификации были изменены хакером из-за слабой защиты образа Docker. Инструмент изменил переменные среды, вставленные в код, и одним из способов отслеживания этого было отслеживание IP-адресов назначения командных и управляющих серверов.
Взломанный обход рабочего процесса аутентификации MFA. Еще одна лазейка в MFA - это пример уязвимости отказа в обслуживании в модуле MFA в Liferay DXP v7.3. Недавно обнаруженная ошибка позволяет любому зарегистрированному пользователю проходить аутентификацию, изменяя одноразовые пароли пользователей, что приводит к блокировке целевого пользователя. С тех пор это было исправлено.
Атаки с передачей cookie. Это еще один метод атаки, в котором используются файлы cookie браузера и сайты, хранящие данные аутентификации в файлах cookie. Первоначально это было сделано для удобства пользователей, чтобы пользователи могли оставаться в своих приложениях. Если хакеру удастся извлечь эти данные, он сможет захватить вашу учетную запись.
Подделки на стороне сервера. Возможно, самый крупный эксплойт в недавней истории, хотя и не только проблема MFA, был назван Hafnium, который использует серию атак, включая подделку на стороне сервера и ошибку записи произвольных файлов, чтобы полностью аннулировать всю аутентификацию на серверах Microsoft Exchange. Атака включает четыре уязвимости нулевого дня в Exchange. Microsoft выпустила серию исправлений.
Правильная двухфакторная аутентификация
Это лишь некоторые из наиболее заметных эксплойтов. Подразумевается, что MFA требуется некоторая осторожность, чтобы сделать это правильно и безопасно. «Плохая MFA похожа на дешевые солнцезащитные очки», - говорит Беккер из 451, имея в виду, что плохой MFA мало что предлагает в плане киберзащиты. «Тем не менее, самая большая проблема, почему он не используется чаще предприятиями, - это плохой пользовательский интерфейс».
Он указывает на другую проблему: «MFA по-прежнему является бинарным выбором, как вышибала в ночном клубе: оказавшись внутри корпоративной сети, вы можете делать то, что хотите, и никто на самом деле не знает, что вы делаете. Чтобы быть эффективным, MFA должен сочетаться с технологиями нулевого доверия и непрерывной аутентификации ». Многие поставщики теперь объединяют продукты MFA и адаптивной аутентификации, но их реализация далеко не проста.
Вариант восстановления учетной записи заслуживает дальнейшего обсуждения. Многие компании имеют надежную защиту MFA для обычного входа в учетную запись, но если пользователь забывает свой пароль, процесс восстановления начинается с отправки пароля по SMS. Вот как хакеры могут проникнуть в вашу сеть.
Герхард Гизе из Akamai указывает на это в прошлогоднем сообщении в блоге, когда говорит о том, что MFA не всегда предотвращает заполнение учетных данных. Он говорит, что ИТ-менеджерам необходимо «пересмотреть ваши рабочие процессы аутентификации и экраны входа в систему, чтобы убедиться, что злоумышленник не может раскрыть действительные учетные данные, запросив ответ веб-сервера, и внедрить решение для управления ботами, чтобы убедиться, что вы не упрощаете жизнь плохим ребятам".
В начале этого года CERT США выпустил предупреждение о потенциальных слабостях MFA, включая попытки входа в систему с помощью фишинга и грубой силы. Они рекомендовали различные методы, в том числе принудительное применение MFA для всех операций аутентификации, включая восстановление учетной записи, а также повышенную безопасность привилегированного доступа.
Технология MFA должна быть частью критически важной инфраструктуры корпоративной безопасности. Недавние атаки, а также призывы экспертов в правительстве и частном секторе должны дать дополнительный импульс для интеллектуальных внедрений.
