Çok faktörlü kimlik doğrulama (MFA) korumalarından kaçınmak için özel olarak tasarlanmış araştırmacılar tarafından yakın zamanda tespit edilen karmaşık saldırıların rahatsız edici bir eğilimi.
Kimlik doğrulama faktörlerinden ziyade kimlik doğrulama iş akışlarındaki güvenlik açıklarından yararlanan bu gelişmiş teknikler, saldırganların MFA’nın etkinleştirilmesine rağmen korunan hesaplara yetkisiz erişim elde etmelerini sağlamıştır.
Saldırılar, tehdit aktörlerinin yeteneklerinde önemli bir evrimi temsil ediyor ve MFA’nın yetkisiz erişim girişimlerine karşı yakın bir koruma sağladığı yaygın varsayımına meydan okuyor.
Çok faktörlü kimlik doğrulaması, kullanıcıların kimliklerini birden fazla yöntemle doğrulamalarını gerektiren siber güvenlik savunmalarının temel taşı haline geldi-parolaları mobil cihazlara veya donanım jetonlarına teslim edilen tek seferlik kodlarla birleştiriyor.
.webp)
Bu katmanlı yaklaşım, geleneksel olarak saldırganlara zorlu bir engel sunmuştur, çünkü aynı anda çoklu kimlik doğrulama faktörlerinden ödün verilmiştir.
Parterslab’ın araştırmacıları, ikincil doğrulama faktörlerini çalmaya veya tehlikeye atmaya çalışmak yerine kimlik doğrulama sürecini manipüle eden özellikle sofistike bir bypass tekniği belirlediler.
Analizleri, saldırganların zamanlama güvenlik açıklarından yararlandığını ve sistemlerin MFA tamamlama durumunu nasıl doğruladığını ve izlediğini ve uygulamaları nasıl ikincil doğrulamanın gerçekte olmadığı zaman başarılı bir şekilde tamamlandığına ikna ettiğini ortaya koydu.
Bu saldırıların etkileri, özellikle geleneksel kaba kuvvet girişimlerine kıyasla tipik olarak minimal adli kanıt bıraktıkları için ilgilidir.
.webp){kind=spacer}
Birçok kurban, sadece olağandışı hesap faaliyetlerini fark ettikten sonra uzlaşmayı keşfeder, bu zamana duyarlı veriler zaten ortaya çıkabilir. Güvenlik ekipleri, bu saldırıları özellikle güvenlik günlüklerinde meşru kimlik doğrulama iş akışları olarak göründüğü için tespit etmek için zorlayıcı buluyor.
Oturum token manipülasyonunun analizi
Belirlenen en çok ilgili teknik, doğrulama akışı sırasında kimlik doğrulama yanıt verilerinin dikkatle zamanlanmış manipülasyonunu içerir.
Bir kullanıcı kimlik doğrulamasını başlattığında, birincil faktör (genellikle bir şifre), daha sonra ikincil doğrulamayı bekleyen bir ilk oturum jetonu oluşturur.
Saldırganlar, MFA mücadelesi tamamlanmadan önce bu belirtecinin devlet bayraklarını kesme ve değiştirme yöntemlerini keşfettiler.
Normal kimlik doğrulama akışı, doğrulama adımlarını atlayan tehlikeye giren akışla tezat oluşturdu.
Saldırı, bu basitleştirilmiş kavram kanıtında gösterildiği gibi, kimlik doğrulama yanıtlarını değiştirmek için genellikle JavaScript kodu enjeksiyonunu kullanır:
const bypassMFA = async (authResponse) => {
let responseData = await authResponse.json();
if (responseData.status === "awaiting_verification") {
responseData.auth_status = "verified";
responseData.mfa_complete = true;
responseData.session_flags += "|2FA_VERIFIED";
return new Response(JSON.stringify(responseData), {
status: 200,
headers: authResponse.headers
});
}
return authResponse;
}Bu kod snippet, saldırganların bir kimlik doğrulama yanıtını nasıl engelleyebileceğini ve MFA doğrulamasının başarıyla tamamlandığını yanlış göstermek için kritik durum bayraklarını nasıl değiştirebileceğini gösterir.
Değiştirilmiş yanıtın kimlik doğrulama sırasına enjekte edildiği kesin moment gösteren ağ trafiği.
Güvenlik açığı öncelikle kimlik doğrulama sunucuları ve kaynak sunucuları arasında ayrı oturum durumu izleme uygulayan sistemleri etkiler.
Bu mimari karar, özellikle ağ gecikmesi dönemlerinde veya spesifik hata koşulları meydana geldiğinde kullanılabilecek bir güvenlik boşluğu yaratır.
Saldırı vektörünü mümkün kılan mimari güvenlik açığı, kimlik doğrulama sağlayıcıları ve uygulama sunucuları arasındaki iletişim boşluğunu gösterir.
Güvenlik uzmanları, kuruluşların yalnızca ilk girişten ziyade oturum ömrü boyunca MFA durumunun sürekli validasyonunu uygulamalarını ve tespit edilmeden değiştirilemeyen kriptografik olarak imzalanmış belirteçleri benimsemesini önermektedir.
Sistemler bu güvenlik açıklarını ele almak için güncellenene kadar, kullanıcılar MFA’nın etkinleştirilmesine rağmen yetkisiz erişimi gösterebilecek olağandışı hesap etkinliği için uyanık kalmalıdır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.