Microsoft: Οι χάκερ χρησιμοποιούν μια νέα τακτική για να αποφύγουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων. Η Microsoft λέει ότι οι επιθέσεις κλοπής token αυξάνονται. Δείτε τι πρέπει να κάνετε για να προστατευτείτε.
Η Microsoft έχει περιγράψει διάφορους τρόπους μετριασμού για την προστασία από επιθέσεις στον έλεγχο ταυτότητας πολλαπλών παραγόντων που δυστυχώς θα κάνουν τη ζωή πιο δύσκολη για τους απομακρυσμένους εργαζομένους.
Πριν από τρία χρόνια, οι επιθέσεις στον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ήταν τόσο σπάνιες που η Microsoft δεν είχε αξιοπρεπή στατιστικά στοιχεία για αυτές.
Ωστόσο, καθώς η χρήση MFA αυξάνεται, οι επιθέσεις στα passwords γίνονται πιο συχνές, η Microsoft έχει δει μια αύξηση στους εισβολείς που χρησιμοποιούν κλοπή token στις προσπάθειές τους να παρακάμψουν το MFA.
Δείτε επείσης : QBot phishing: Καταχράται το Windows 10 Control Panel για να μολύνει συσκευές
Σε αυτές τις επιθέσεις, ο εισβολέας παραβιάζει ένα token που έχει εκδοθεί σε κάποιον που έχει ήδη ολοκληρώσει το MFA και επαναλαμβάνει αυτό το token για να αποκτήσει πρόσβαση από διαφορετική συσκευή.
Τα tokens είναι κεντρικά στις ID πλατφόρμες OAuth 2.0, συμπεριλαμβανομένου του Azure Active Directory (AD), που στοχεύει να κάνει τον έλεγχο ταυτοποίησης απλούστερο και ταχύτερο για τους χρήστες, αλλά με τρόπο που εξακολουθεί να είναι ανθεκτικό σε επιθέσεις κωδικών πρόσβασης.
“Πρόσφατα, η ομάδα Microsoft Detection and Response Team (DART) είδε μια αύξηση στους εισβολείς που χρησιμοποιούν κλοπή token για αυτόν τον σκοπό” αναφέρει η Microsoft.
Επιπλέον, η Microsoft προειδοποιεί ότι η κλοπή των tokens είναι επικίνδυνη επειδή δεν απαιτεί υψηλά τεχνικά skills, ο εντοπισμός είναι δύσκολος, και είναι λίγοι οι οργανισμοί που έχουν εφαρμόσει τα μέτρα μετριασμού.
Κατά τη πρόσβαση σε web applications που που θωρακίζονται από το Azure AD protected, ο χρήστης πρέπει να παρουσιάσει ένα έγκυρο token, το οποίο μπορεί να αποκτήσει αφού έχει συνδεθεί στο Azure AD χρησιμοποιώντας τα credentials του. Έπειτα οι admins μπορούν να ορίσουν πολιτική ώστε να απαιτείται από το MFA να συνδεθεί σε έναν λογαριασμό από έναν browser. Το token εκδίδεται στον χρήστη, παρουσιάζεται στην εφαρμογή web, η οποία το επικυρώνει και ελευθερώνει τη πρόσβαση.
Δείτε επείσης : Επιθέσεις σε websites αεροδρομίων των ΗΠΑ. Η επόμενη μέρα
“Όταν ο χρήστης υποβάλλεται σε phishing, η κακόβουλη υποδομή καταγράφει τόσο τα credentials του χρήστη όσο και το token”, εξηγεί η Microsoft.
Εφόσον κλαπούν και τα δυο, ο hacker μπορεί να τα χρησιμοποιήσει για πολλές επιθέσεις. Η Microsoft επισημαίνει τις BEC, που είναι η μεγαλύτερη αιτία οικονομικών απωλειών από το έγκλημα στον κυβερνοχώρο σήμερα.
Tokens: Η αντιμετώπιση της κλοπής
Για την αντιμετώπιση της απειλής επιθέσεων κλοπής token στο MFA, η Microsoft συνιστά τη συντόμευση της διάρκειας περιόδου λειτουργίας. Τα mitigations περιλαμβάνουν τα παρακάτω:
- Mείωση της διάρκειας ζωής της περιόδου σύνδεσης αυξάνει τον αριθμό των φορών που ένας χρήστης αναγκάζεται να πραγματοποιήσει εκ νέου έλεγχο ταυτότητας.
- Mείωση του βιώσιμου χρόνου ενός token αναγκάζει τους hackers να αυξήσουν τη συχνότητα των προσπαθειών κλοπής token.
- Η Microsoft συνιστά την εφαρμογή Conditional Access App Control στο Microsoft Defender για εφαρμογές Cloud για χρήστες που συνδέονται από μη διαχειριζόμενες συσκευές
Οι χρήστες με προνόμια υψηλού επιπέδου, όπως ο Global Domain admin, θα πρέπει να έχουν ξεχωριστή ταυτότητα μόνο για το cloud.
Δείτε επείσης : GitHub: Χάκερ παραβίασε δεκάδες orgs χρησιμοποιώντας κλεμμένα OAuth tokens
Πηγή : zdnet.com
