Apakah Yang Dapat Merusak Keamanan Otentikasi Multifaktor?
Otentikasi multi-faktor adalah perlindungan efektif yang mencegah peretas mengambil alih akun Anda. Namun, menurut penemuan baru-baru ini, dua kelompok – Lapsus $ dan SolarWinds – tampaknya telah merusak MFA. Dalam posting ini, kita akan membahas apa itu, dan yang paling penting, tidak semua jenis otentikasi multi-faktor dibuat sama.
Sedikit otentikasi multi-faktor
Jika Anda telah mengaktifkan otentikasi multi-faktor di akun Anda, Anda perlu menerapkan faktor tambahan selain nama pengguna dan kata sandi yang Anda berikan saat masuk ke akun Anda. Ini bisa berupa kata sandi satu kali yang dikirim ke ponsel cerdas atau email Anda, sidik jari, atau kunci keamanan fisik.
Formulir otentikasi multifaktor – Ikhtisar
Tidak semua bantuan keuangan makro sama dengan keamanan. Baru-baru ini, orang-orang skenario seperti geng pemerasan Lapsus $ dan Cozy Bear – ancaman di balik peretasan SolarWinds – berhasil mematahkan pertahanan MFA. Teknik yang dikenal sebagai MFA Prompt Bombing digunakan, yang akan kita bahas nanti di blog ini.
Sebelum kita membahas apa itu pengeboman cepat MFA, pertama-tama mari kita lihat dua kerangka kerja di balik otentikasi multi-faktor:
- Bentuk MFA yang lebih lama: Ini adalah kata sandi satu kali (OTP) yang dikirim ke telepon melalui SMS atau pemberitahuan, atau melalui aplikasi seluler seperti Google Authenticator \. Dalam hal ini, selain memasukkan nama pengguna dan kata sandi Anda, Anda harus memasukkan kata sandi satu kali yang dikirimkan kepada Anda untuk menyelesaikan prosedur login.
- FIDO2: Bentuk-bentuk MFA ini relatif baru tetapi lebih kuat daripada bentuk-bentuk sebelumnya. Ini dikembangkan oleh konsorsium perusahaan untuk menyeimbangkan kemudahan penggunaan dengan keamanan pengguna. Jadi bagaimana FIDO2 berbeda dari bentuk sebelumnya? Di sini Anda dapat menggunakan kamera atau pemindai sidik jari atau kunci keamanan khusus yang terpasang di perangkat Anda. Metode ini memverifikasi bahwa pengguna berwenang untuk menggunakan akun yang diinginkan.
Apa itu Pengeboman Prompt otentikasi multifaktor?
Konsep MFA Prompt Bombing pada awalnya menunjukkan betapa lemahnya bentuk-bentuk MFA yang lama.
Menyadari bahwa banyak penyedia MFA mengizinkan menerima panggilan telepon untuk mengonfirmasi autentikasi atau mengirim pemberitahuan push sebagai faktor kedua, pemain ancaman di masa lalu telah mengirim beberapa permintaan MFA ke perangkat pengguna yang sah. Lebih khusus lagi, peneliti Mandiant mengatakan bahwa aktor ancaman, Cozy Bear, yang juga terdaftar sebagai APT29, Nobel dan Dukes, menggunakan teknik ini.
Tapi apa sih aktor mengancam yang bisa mengikat korban dengan otentikasi?
Seorang anggota Lapsus $ menulis di saluran Telegram resmi grup: “Telepon karyawan 100 kali pada jam 1 pagi ketika mencoba untuk tidur dan kemungkinan besar menerimanya. Setelah karyawan menerima panggilan pertama, mereka dapat mengakses portal pendaftaran. MFA dan mendaftar perangkat lain”.
Seperti yang bisa kita lihat, ancaman tersebut memanfaatkan fakta bahwa jumlah panggilan yang dapat dilakukan tidak terbatas. Selain itu, permintaan dikirim ke perangkat hingga pengguna menerimanya, dan kemudian, jika ancaman disusupi, pengguna ancaman masuk ke akun pengguna.
Anehnya (dan mengkhawatirkan!), Seorang anggota LapSus $ mengaku telah menipu seorang karyawan Microsoft. Anggota ini berkata: “Mereka dapat mengakses VPN karyawan dari Jerman dan AS secara bersamaan dan tampaknya tidak menyadarinya. Saya dapat mendaftar ulang di MFA dua kali.”
Mike Grover, yang menjual alat peretas tim merah untuk profesional keamanan, mengatakan: “Pada dasarnya ada banyak cara yang dapat dilakukan: mengelabui pengguna agar menerima permintaan MFA.” MFA Bombing “dengan cepat menjadi deskriptif, tetapi tidak memiliki lebih banyak metode sembunyi-sembunyi. “Metode termasuk –
Ingin beberapa teknik yang telah digunakan oleh banyak Tim Merah untuk melewati perlindungan MFA untuk akun? Ya, bahkan versi “phishing”.
Saya akan membagikannya sehingga Anda dapat memikirkan apa yang akan terjadi, bagaimana Anda akan meringankannya dan sebagainya. Saat ini, saya lebih suka melihatnya di padang pasir.
- Tujuannya adalah untuk memanggil korban sebagai bagian dari bisnis dan meminta mereka untuk mengajukan permintaan MFA sebagai bagian dari proses bisnis.
- Mengirim banyak permintaan MFA dengan harapan korban target akhirnya akan mengizinkan dan menerima permintaan untuk menghentikan kebisingan.
- 1-2 pengiriman per hari. Di sini, peluang untuk menerima permintaan MFA tetap baik.
Baru mengenal teknologi penyok MFA? Mungkin tidak, dan seorang peneliti menunjukkan ini di salah satu tweetnya –
Lapsus $ tidak menciptakan “Pengeboman Segera MFA”, tolong jangan salahkan mereka karena menciptakannya.
Vektor serangan ini digunakan dalam serangan dunia nyata 2 tahun sebelum slip ada.
Jadi apakah ini berarti FIDO2 benar-benar tahan terhadap serangan?
Sampai batas tertentu, ya! Ini karena FIDO2 memerlukan otentikasi perangkat pengguna. Otentikasi multi-faktor menggunakan modul FIDO2 terikat ke mesin fisik dan tidak dapat terjadi dengan perangkat yang mencoba mengakses perangkat lain.
Tetapi bagaimana jika Anda menjatuhkan ponsel dan merusaknya, kehilangan kunci, atau entah bagaimana merusak pembaca sidik jari di laptop Anda? Atau bagaimana jika seorang peretas meyakinkan administrator TI untuk memulihkan otentikasi multi-faktor dan kemudian mendaftarkan perangkat yang sama sekali baru? Bagaimana jika MFA yang sesuai dengan FIDO2 bukan pilihan untuk Anda?
Saat itulah pengeboman cepat otentikasi multifaktor dalam kasus FIDO2 Forms of Multifactor Authentication masuk –
- Jika Anda menggunakan mekanisme pemulihan cadangan, penyerang dapat memanfaatkan opsi ini.
- Misalkan sebuah perusahaan yang menggunakan modul FIDO2 MFA bergantung pada pihak ketiga untuk menjalankan fungsi atau mengelola jaringan. Perusahaan pihak ketiga ini menggunakan modul MFA yang lebih lemah untuk mengakses jaringan perusahaan. Tujuan penuh FIDO2 telah gagal di sini.
Nobelium mampu melewati FIDO2 di mana-mana, tetapi dalam kasus ini peretas dapat mengeksploitasi Active Directory korban, di mana mereka dapat memanfaatkan alat basis data yang digunakan administrator untuk membuat, menghapus, atau mengubah akun pengguna yang ditetapkan. ke mereka.
Penutup
Kami ingin memulihkan fakta bahwa jika aktor jahat mengembangkan metode yang lebih efektif untuk melawan MFA, bentuk yang lebih kuat harus digunakan. Namun, menggunakan MFA tetap merupakan langkah penting untuk mengamankan akun online Anda. Jika Anda menyukai apa yang Anda baca, klik posting ini dan bagikan pendapat Anda di bagian komentar di bawah.
Sumber: wethegeek.com
