Los piratas informáticos de Lapsus$ y SolarWinds usan el mismo viejo truco para eludir MFA

imágenes falsas

La autenticación multifactor (MFA) es una defensa central que se encuentra entre las más efectivas para prevenir la apropiación de cuentas. Además de exigir a los usuarios que proporcionen un nombre de usuario y una contraseña, MFA garantiza que también deben usar un factor adicional, ya sea una huella digital, una clave de seguridad física o una contraseña de un solo uso, antes de que puedan acceder a una cuenta. Nada en este artículo debe interpretarse como que implica que MFA es cualquier cosa menos esencial.

Sin embargo, algunas formas de MFA son más fuertes que otras, y los eventos recientes muestran que estas formas más débiles no representan un gran obstáculo para algunos piratas informáticos. En los últimos meses, presuntos niños guionistas como la banda de extorsión de datos Lapsus$ y los actores de amenazas estatales rusos de élite (como Cozy Bear, el grupo detrás del hackeo de SolarWinds) han derrotado con éxito la protección.

Ingrese el bombardeo de solicitud de MFA

Las formas más fuertes de MFA se basan en un marco llamado FIDO2, desarrollado por un consorcio de empresas que equilibra los requisitos de seguridad y usabilidad. Brinda a los usuarios la capacidad de usar lectores de huellas dactilares o cámaras integradas en los dispositivos, o claves de seguridad dedicadas para confirmar que están autorizados para acceder a una cuenta. Los formularios FIDO2 MFA son relativamente nuevos, por lo que muchos servicios tanto para consumidores como para grandes organizaciones aún no los han adoptado.

Aquí es donde entran en juego las formas más antiguas y débiles de MFA. Esto incluye contraseñas de un solo uso enviadas por SMS o generadas por aplicaciones móviles como Google Authenticator, o notificaciones automáticas enviadas a un dispositivo móvil. Cuando alguien inicia sesión con una contraseña válida, debe ingresar la contraseña de un solo uso en un campo en la pantalla de inicio de sesión o presionar un botón que se muestra en la pantalla de su teléfono.

Según informes recientes, se omite esta última forma de autenticación. Un grupo que emplea esta técnica, según la firma de seguridad Mandiant, es Cozy Bear, un grupo de piratas informáticos de élite que trabajan para la agencia de inteligencia extranjera de Rusia. El grupo también se conoce con los nombres Nobelium, APT29 y Dukes.

«Muchos proveedores de MFA permiten a los usuarios aceptar una notificación automática desde una aplicación de teléfono o recibir una llamada y presionar un botón como segundo factor», escriben los investigadores de Mandiant. «Los [Nobelium] El atacante se aprovechó de esto e hizo múltiples solicitudes de MFA al dispositivo legítimo del usuario final hasta que el usuario aceptó la autenticación, lo que eventualmente le dio al atacante acceso a la cuenta».

Lapsus$, una pandilla de piratas informáticos que ha violado Microsoft, Okta y Nvidia en los últimos meses, también ha utilizado la técnica.

“No hay límite para la cantidad de llamadas que se pueden hacer”, escribió un miembro de Lapsus$ en el canal oficial de Telegram del grupo. “Llama al empleado 100 veces a la 1 a. m. mientras intenta dormir y lo más probable es que lo acepte. Una vez que el agente responde la primera llamada, puede acceder al portal de inscripción de MFA e inscribir otro dispositivo”.

El miembro de Lapsus$ afirmó que la técnica de bombardeo rápido de MFA fue efectiva contra Microsoft, que dijo a principios de esta semana que el grupo de piratería pudo acceder a la computadora portátil de uno de sus empleados.

«¡Incluso Microsoft!», escribió el humano. “Posible iniciar sesión en la VPN de Microsoft de un empleado de Alemania y EE. UU. al mismo tiempo y ni siquiera parecían darse cuenta. También pude volver a registrar MFA dos veces”.

Mike Grover, un vendedor de herramientas de piratería de Red Team para profesionales de la seguridad y consultor de Red Team que recurre a Twitter. _MG_Ars dijo que la técnica es “básicamente un único método que toma muchas formas: lograr que el usuario confirme una solicitud de MFA. El ‘bombardeo MFA’ se ha convertido rápidamente en un nombre familiar, pero eso pasa por alto los métodos más sigilosos».

Los métodos incluyen:

  • Envíe una serie de solicitudes de MFA y espere que el objetivo finalmente acepte una para detener el ruido.
  • Envíe uno o dos avisos al día. Este método a menudo llama menos la atención, pero «todavía hay una buena posibilidad de que el objetivo acepte la solicitud de MFA».
  • Llame al objetivo, finja ser parte de la empresa y dígale que un proceso de la empresa requiere que envíe una solicitud de MFA.

«Estos son solo algunos ejemplos», dijo Grover, pero es importante darse cuenta de que el bombardeo masivo NO es la única forma que toma.

en uno Hilo de Twitter, escribió: “Los equipos rojos han estado jugando variantes de esto durante años. Ha ayudado a las empresas que tienen la suerte de tener un equipo rojo. Pero los atacantes reales avanzan más rápido de lo que ha mejorado la postura colectiva de la mayoría de las organizaciones”.

Otros investigadores se apresuraron a señalar que la técnica de solicitud de MFA no es nueva.

«Lapsus$ no inventó el ‘bombardeo rápido de MFA'», dijo Greg Linares, un profesional del Equipo Rojo. tuiteó. “Por favor, deja de culparlos… por crearlo. Este vector de ataque se utilizó en ataques reales dos años antes de Lapsus”.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí