Şirketler, çalışanları ve müşterileri için giderek daha güçlü güvenlik sürümlerine ihtiyaç duydukça, saldırganlar çok faktörlü kimlik doğrulamayı (MFA) atlamakta daha iyi hale geliyor ve bu da, bu hafta siber güvenlik firması LastPass’ta bir veri sızıntısının duyurulması ve duyurulan Şubat ayının başlarında sosyal medya hizmeti Reddit’te ihlal.
Kısa mesaj hizmeti (SMS) metinleri yoluyla gönderilen tek seferlik parolalar (OTP’ler) kullanan iki faktörlü kimlik doğrulamanın (2FA) kusurlu güvenliğini atlamanın birden çok yolu olsa da, push bildirimleri veya donanım belirteçleri kullanan sistemlerin korunması çok daha zordur. anlaşmak. Yine de saldırganlar, ek güvenliği aşmak için üçlü bir tekniğe yöneldiler: sırasıyla kullanıcıya, ağa ve tarayıcıya odaklanan MFA taşması, proxy saldırıları ve oturum ele geçirme.
Saldırganlar, MFA’nın daha zayıf biçimlerini, özellikle de SMS kullananları, çoğu zaman atlatırlar. [but] Bir kimlik güvenliği sağlayıcısı olan Oort’un CEO’su Matt Caulfield, saldırganların MFA’yı atlatmak için MFA taşması, SIM değiştirme ve ortadaki saldırgan saldırıları dahil olmak üzere kullandığı pek çok teknik var” diyor.
MFA Sel ve Yorgunluk
Saldırganlar için ilk hedef genellikle klavyenin arkasındaki insandır. Genel olarak, Verizon’un “2022 Veri İhlali Soruşturma Raporuna (DBIR)” göre, ihlallerin %82’si “insan unsuru” ile ilgiliydi ve Web uygulaması ihlallerinin %80’den fazlası çalınan kimlik bilgilerinin kullanımına bağlanıyor.
Saldırganın çalınan kimlik bilgilerini kullanarak tekrar tekrar oturum açmayı deneyerek bir anlık bildirim yağmuru oluşturduğu MFA taşması, kullanıcıların güvenlik uyarıları konusundaki yorgunluğundan yararlanmayı amaçlar. Caulfield, “Push bildirimleri, SMS’in bir adım ötesindedir, ancak MFA taşmasına ve MFA yorgunluk saldırılarına karşı hassastır ve kurbanı, bunlardan birinde ‘İzin Ver’i tıklayacakları umuduyla bildirim bombardımanına tutar” diyor.
Bir başka popüler taktik olan hesap sıfırlama saldırısı, teknik desteği kandırarak saldırganlara hedeflenen bir hesabın kontrolünü vermeyi amaçlar; bu yaklaşım, geliştirici Slack kanalının Grand Theft’in yapımcısı Take-Two Interactive’in Rockstar Games’i için başarılı bir şekilde ele geçirilmesine yol açan bir yaklaşımdır. Otomatik bayilik.
NCC Group’ta altyapı güvenliği uygulama direktörü Jordan LaRose, “Bir saldırgan, bir kullanıcının kimlik bilgilerini ele geçirecek ve ardından bir satıcı veya BT çalışanı kılığına girecek ve kullanıcıdan bir doğrulama kodu veya telefonunda bir MFA istemini onaylamasını isteyecektir” diyor. “Saldırganlar, kullanıcıları yanlış bir güvenlik duygusuna kaptırmak için genellikle sosyal mühendislik saldırısının bir parçası olarak tehlikeye attıkları bilgileri kullanır.”
Oturum Ele Geçirme ve Çerezi Geçirme Saldırıları
Bir çalışan bir çevrimiçi hesapta veya bulut hizmetinde oturum açtıktan sonra, kullanıcının kimlik doğrulama bilgilerini içeren bir oturum tanımlama bilgisi genellikle ayarlanır ve kullanıcı oturumu kapatarak oturumu sonlandırana kadar etkin kalır. Saldırganın tarayıcı önbelleğindeki her tanımlama bilgisini bir oturumu ele geçirme veya tanımlama bilgisini geçirme saldırısı olarak potansiyel kullanım için toplaması yaygın bir taviz sonrası taktiğidir. Emotet gibi kötü amaçlı yazılımlar, bu işlevselliğe normal bir özellik olarak sahiptir.
NCC Group’tan LaRose, bu saldırının diğer varyantlarının, bir kullanıcının MFA engelini geçtikten sonra oturumunun kontrolünü ele geçirmek için siteler arası komut dosyası çalıştırma veya kötü amaçlı tarayıcı uzantıları kullandığını söylüyor.
“Bu tekniğin nihai amacı, kullanıcının oturumuna dolaylı olarak saldırmak ve bu nedenle oturum açma akışındaki daha güçlü güvenlik kontrolleriyle etkileşime girmemektir” diyor.
Proxy Saldırıları ve AitM
Son olarak, saldırganlar, kullanıcının cihazı ile bir bulut hizmeti veya çevrimiçi site arasındaki altyapıyı tehlikeye atmaya çalışabilir. Kullanıcıdan ve hedef sunucudan gelen istekleri engellemek için güvenliği ihlal edilmiş veya kötü amaçlı bir sunucu kullanmak, proxy saldırısı veya ortadaki düşman (AitM) saldırısı, siber saldırganların kimlik doğrulama mekanizmasını gerçek zamanlı olarak toplamasına olanak tanır.
Bilgi Güvenliği Ofisi olay müdahale ekibi lideri Drew Trumbull, “Bu, saldırganların MFA’nın mevcut çoğu yöntemini atlamasına olanak tanıyor, çünkü kullanıcı siteye ve bilgisayar korsanına hem kullanıcı adı ve parola hem de ek kimlik doğrulama sağlıyor” dedi. Kuzey Karolina Üniversitesi, tekniği gözden geçirdiğini söyledi.
Şirketin açıklamasına göre bu teknik, LastPass’taki ihlale katkıda bulunmuş olabilir.
Matrix’i Sıfırlamak
En son saldırılara karşı savunma yapmak için şirketler, donanım anahtarı gibi sahip olduğunuz bir şeyden ve biyometrik gibi size ait olan bir şeyden oluşan kimlik avına dayanıklı MFA’yı devreye almalıdır. NCC Group’tan LaRose, Yubikey gibi yaygın donanım anahtarı çözümlerinin kimlik avına dayanıklı MFA’nın dağıtımını daha kolay hale getirdiğini söylüyor.
Oort’tan Caulfield, ne yazık ki, şirketlerin donanım anahtarlarını benimseme konusunda hala engeller olduğunu ve bu durumun tam kapsama ulaşmayı zorlaştırdığını söylüyor.
“Donanım tabanlı güvenlik anahtarlarını her çalışana gönderme lojistiği ve anahtarları kaybettiklerinde süreci yönetme bir kabus olabilir” diyor. “Dizüstü bilgisayarları ve güvenlik anahtarlarını yüklenicilere göndermek daha da zor.”
Cihazları yönetmek için artan ek yük ile birlikte, saldırganlar için bir yol daha geliyor: kaybolan veya çalınan bir cihazın ardından bir hesabı sıfırlamak. Oort’tan Caulfield, kurban gibi davranarak, bir saldırganın bir cihazı kaybettiğini iddia ederek oturum açtıktan sonra yeni bir faktör kaydetmesine veya bir sıfırlama yetkisiz kullanım süresi boyunca harekete geçmesine izin verebilir, diyor.
“MFA sıfırlamaları büyük bir zorluktur” diyor. “Saldırganların bir zayıflık olarak faktörden kayıt ve sıfırlama sürecine geçtiğini göreceğiz.”
Ve aslında, bir donanım belirteci kullanmak yerine, çalışanların ve tüketicilerin bir güvenlik sorusuna abone olma veya e-posta veya SMS yoluyla alınan zamana dayalı bir OTP’yi (TOTP) kullanma olasılıkları çok daha yüksektir. Örneğin, kimlik sağlayıcı Okta’da ankete katılan kullanıcıların yaklaşık %80’i e-postayı ikinci bir faktör olarak kullanıyor – ve yaklaşık %40’ının bir uygulama aracılığıyla kendilerine aktarılan bir TOTP’si var – Oort’a göre yalnızca yaklaşık %5’i bir jeton veya Yubikey kullanıyor. “2023 Kimlik Durumu Güvenliği” raporu. Raporda, Azure AD ve Duo Security kullanıcılarının, kayıt numaralarına hakim olan güvenlik soruları ve SMS şifreleriyle benzer tercihler gösterdiği belirtildi.