Çok Faktörlü Kimlik Doğrulama, bilgisayar korsanlarının hesabınızı ele geçirmesini engelleyen güçlü bir savunmadır. Ancak yakın zamandaki bir bulguya göre Lapsus$ ve SolarWinds adlı iki grup, MFA'nın çalışma biçiminde bir göçük yaratmış gibi görünüyor. Bu yazıda tüm bunların neyle ilgili olduğunu ve en önemlisi, tüm Çok Faktörlü Kimlik Doğrulama türlerinin eşit yaratılmadığını tartışacağız.
Çok Faktörlü Kimlik Doğrulama (MFA) Hakkında Biraz
Eğer Hesabınızda Çok Faktörlü Kimlik Doğrulamayı etkinleştirdiyseniz, hesabınıza giriş yaparken sağladığınız kullanıcı adı ve şifreye ek olarak ek bir faktör de kullanmanız gerekir. Bu, akıllı telefonunuza veya e-postanıza gönderilen tek kullanımlık bir şifre, parmak izi veya fiziksel güvenlik anahtarı olabilir.
MFA Formları – Genel Bakış
Tüm MFA'lar güvenlik söz konusu olduğunda eşit yaratılmıştır. Yakın geçmişte, Lapsus$ veri gaspı çetesi ve Rahat Ayı gibi senaryo çocukları – SolarWinds saldırısının arkasındaki tehdit aktörleri, MFA korumasının bir kısmını kırmada başarılı oldu. Bu blogda biraz sonra tartışacağımız, MFA İstem Bombalaması olarak bilinen bir teknik kullandılar.
MFA istem bombardımanının ne olduğunu tartışmadan önce, ilk olarak Çok Faktörlü Kimlik Doğrulamanın dayandığı 2 çerçeveye bakalım. –
MFA İstem Bombalaması nedir?
MFA İstem Bombalaması kavramı, başlangıçta eski hesapların ne kadar zayıf olduğunu gösterir. MFA biçimleri şöyledir.
Birçok MFA sağlayıcısının, kimlik doğrulamayı onaylamak için bir telefon araması almanıza veya ikinci bir faktör olarak anlık bildirimler göndermenize izin verdiği gerçeğini bilerek, geçmişte tehdit aktörleri birden fazla Çok Faktörlü Kimlik Doğrulama yeniden yayınlamıştır. Bir kullanıcının meşru cihazına yönelik görevler. Daha spesifik olarak, Mandiant araştırmacılarına göre APT29, Nobelium ve Dukes adlarıyla da anılan tehdit aktörü Cosy Bear bu tekniği kullandı.
Fakat Tehdit Aktörleri Kurbanları Vurmak İçin Nasıl İp Attı? Kimlik Doğrulama Hakkında?
Bir Lapsus$ üyesi, grubun resmi Telegram kanalına şunları yazdı: “Çalışanı uyumaya çalışırken gecenin 1'inde 100 kez arayın; büyük ihtimalle bunu kabul edecektir. Çalışan ilk çağrıyı kabul ettikten sonra MFA kayıt portalına erişebilir ve başka bir cihazı kaydedebilirsiniz."
Gördüğümüz gibi tehdit aktörü, çağrı sayısına herhangi bir sınırlama getirilmemesinden yararlanıyor. yapılabilirdi. Ayrıca, kullanıcı kabul etmedikçe ve kabul edinceye kadar istekler cihaza gönderilir ve bu gerçekleştiğinde tehdit aktörü kullanıcı hesabına erişim kazanır.
Oldukça şaşırtıcı (ve endişe verici bir şekilde!), bir LapSus $ üyesi bir Microsoft çalışanını aldattığını iddia etti. Bu üye, “Almanya ve ABD'den bir çalışanın Microsoft VPN'sine aynı anda giriş yapabiliyorum ve bunu fark etmemişler bile. Ayrıca MFA'yı iki kez yeniden kaydettirmeyi başardı."
Güvenlik uzmanlarına yönelik kırmızı takım korsanlık araçları satıcısı olan Mike Grover, "temelde çok sayıda işlem gerektiren tek bir yöntem olduğunu söyledi. formlar: kullanıcıyı bir MFA isteğini kabul etmesi için kandırmak. 'MFA Bombalaması' hızla bir tanımlayıcı haline geldi, ancak bu daha gizli yöntemleri gözden kaçırıyor." Yöntemler şunları içermektedir –
Birçok Kırmızı Takımın hesaplardaki MFA korumalarını aşmak için kullandığı bazı teknikleri mi istiyorsunuz? Evet, hatta "kimlik avına karşı korunmayan" versiyonlar bile.
Gelecekte ne olacağı, hafifletici önlemleri nasıl alacağınız vb. hakkında düşünebilmeniz için paylaşıyorum. Bu aralar daha çok vahşi doğada görülüyor.
1/n
— _MG_ (@_MG_) 23 Mart 2022
- Hedef mağdurun bir parçası olarak aranması şirket sürecinin bir parçası olarak bir MFA isteği göndermelerini istemek.
- Hedef kurbanın sonunda pes etmesi ve gürültüyü durdurma isteğini kabul etmesi umuduyla bir grup MFA isteği göndermek.
- Günde 1-2 tane gönderiyorum. Burada MFA isteğinin kabul edilme şansı hala yüksektir.
MFA'yı çökertme tekniği yeni mi? Muhtemelen hayır ve bir araştırmacı tweet'lerden birinde buna dikkat çekti –
Lapsus$ 'MFA hızlı bombalamayı' icat etmedi, lütfen onlara atıf yapmayı bırakın bunu onlar yaratıyor.
Bu saldırı vektörü, lapsus'un ortaya çıkmasından 2 yıl önce gerçek dünya saldırılarında kullanılan bir şeydi
— Greg Linares (@Laughing_Mantis) 25 Mart 2022
Yani Bu, FIDO2'nin Saldırılara Karşı Tam Bir Kanıt Olduğu Anlamına mı Geliyor?
Bir dereceye kadar evet! Bunun nedeni FIDO2 durumunda kimlik doğrulamanın kullanıcının cihazına ihtiyaç duymasıdır. FIDO2 formlarını kullanan MFA, fiziksel bir makineye bağlıdır ve farklı bir cihaza erişim vermeye çalışan bir cihazın başına gelemez.
Peki ya telefonunuzu düşürüp kırarsanız, anahtarınızı kaybederseniz veya Dizüstü bilgisayarınızda bulunan parmak izi okuyucuyu bir şekilde kırdınız mı? Veya bir bilgisayar korsanı, bir BT yöneticisini Çok Faktörlü Kimlik Doğrulamayı sıfırlaması ve ardından tamamen yeni bir cihazı kaydettirmesi için kandırırsa ne olur? Ayrıca, sizin durumunuzda FIDO2 uyumlu MFA bir seçenek değilse ne olur?
İşte o zaman, FIDO2 Çok Faktörlü Kimlik Doğrulama Formları durumunda MFA'nın hızlı bombardımanı devreye girer –
- Eğer sıfırlama yedekleme mekanizmaları kullanılırsa, saldırganlar bu fırsatı değerlendirebilir.
- Diyelim ki MFA'nın FIDO2 formlarını kullanan bir şirket, işlevleri gerçekleştirmek veya ağı yönetmek için üçüncü bir tarafa güveniyor. Bu üçüncü taraf şirket, şirketin ağlarına erişmek için daha zayıf MFA formları kullanıyor. FIDO2'nin tüm amacı burada boşa çıktı.
Nobelium her yerde bulunan FIDO2'yi bypass etmeyi başardı ancak bu durumda, bilgisayar korsanları kurbanın Active Directory'sinden yararlanmayı başardılar ve burada FIDO2'yi istismar edebildiler. yöneticilerin kullanıcı hesaplarını oluşturmak, silmek veya değiştirmek ya da onlara yetkilendirme ayrıcalıkları atamak için kullandığı veritabanı araçları.
ÖzetleKötü niyetli aktörlerin MFA'ları engellemek için daha güçlü yollar geliştirmesiyle daha güçlü formların ortaya çıktığı gerçeğini yeniden belirtmek istiyoruz. kullanılmalıdır. Bununla birlikte, MFA kullanmak çevrimiçi hesaplarınızın korunmasına yönelik hala önemli bir adımdır. Okuduklarınızı beğendiyseniz bu gönderiyi beğenin ve görüşlerinizi aşağıdaki yorumlar bölümünde paylaşın.
Okunma: 0
