Atacantes continuam a descobrir alternativas para explorar MFA
Embora o MFA possa melhorar a postura geral de segurança, não é uma “solução mágica” – e os hacks continuam.
À medida que os usuários online se tornam cada vez mais cientes e usam a autenticação multifator (MFA), os invasores estão criando novas maneiras de contornar a tecnologia – e muitas vezes com grande sucesso.
No início deste mês, por exemplo, a empresa de segurança Proofpoint relatou sua divulgação de vulnerabilidades críticas no Microsoft WS-Trust que poderiam ser usadas para contornar MFA em serviços em nuvem que usam a tecnologia – o principal deles, o Microsoft 365. Um ataque poderia ter permitido um cibercriminoso para usar credenciais obtidas de phishing e despejos de credenciais para fazer logon no Office 365, Azure e outros serviços da Microsoft, declarou a Proofpoint.
Essas vulnerabilidades são uma forma de contornar a segurança adicional fornecida pelo MFA. Embora os especialistas em segurança enfatizem que o MFA melhora a segurança geral dos usuários online, vulnerabilidades exploráveis e decisões erradas do usuário podem minar essas proteções.
“Quando se trata de segurança em nuvem, o MFA não é uma solução mágica”, disse Or Safran, analista sênior de detecção de ameaças da Proofpoint, em uma análise das vulnerabilidades . “À medida que mais organizações adotam a tecnologia, mais vulnerabilidades serão descobertas e abusadas pelos invasores. No entanto, a MFA pode melhorar a postura geral de segurança, especialmente quando combinada com visibilidade de ameaças centradas nas pessoas e controles de acesso adaptáveis.”
À medida que mais pessoas acessam contas valiosas online, a autenticação de dois fatores (2FA) e a MFA se tornam mais populares. Em um relatório de dezembro de 2019, a empresa de segurança Duo Security descobriu que a adoção de 2FA entre os usuários quase dobrou em dois anos , com 53% dos entrevistados usando 2FA para algumas de suas contas (contra 28% em 2017). Mais de dois terços das pessoas mais jovens – 34 anos ou menos – usaram 2FA em algumas contas, enquanto apenas um terço das pessoas com 65 anos ou mais usaram a tecnologia, de acordo com o estudo .
As vulnerabilidades críticas encontradas pelo Proofpoint são os cenários de exploração mais recentes para as tecnologias de segurança cada vez mais populares. No ano passado, o FBI alertou que os cibercriminosos adotaram uma variedade de medidas para contornar ou contornar o MFA. Em um exemplo citado de 2019, um erro de injeção de código no site de uma instituição bancária permitiu que os invasores inserissem “uma string manipulada” no campo multifator, em vez de um PIN, e contornassem o segundo fator, de acordo com o comunicado do FBI .
No entanto, embora tais desvios técnicos não sejam raros, muito mais comuns são os esforços dos invasores para se inserir no processo de MFA e roubar senhas ou tokens de segurança. Contornar o MFA geralmente se resume em tirar proveito de usuários crédulos, diz Roger Grimes, analista de defesa baseado em dados da KnowBe4, uma empresa de treinamento em segurança.
“Os amplos ataques que spammers e phishers costumam enviar para coletar credenciais – MFA podem prevenir esses tipos de ataques”, diz ele. “Mas quando os invasores sabem que o usuário tem MFA, muitas vezes isso prova que não é uma barreira e, em alguns casos, torna-se ainda mais fácil.”
O tipo mais comum de ataque MFA é interceptar a senha de uso único. Os ataques em tempo real usam um proxy man-in-the-middle para pegar a senha descartável que o usuário insere no que acredita ser um site legítimo. Em 2019, pesquisadores de cibersegurança lançaram uma ferramenta, batizada de Muraena, que permite a coleta do segundo fator. Um alvo comum é a tecnologia amplamente implantada para o envio de senhas únicas por meio de mensagens de texto, uma defesa tão quebrada que o Instituto Nacional de Padrões e Tecnologia (NIST) alertou contra o seu uso em maio de 2016 .
Outra abordagem comum é roubar o token de segurança enviado ao usuário para simplificar logins futuros. Reutilizar o token pode permitir que um invasor acesse a conta do usuário. Por fim, os ataques técnicos ao software, geralmente visando o suporte para tecnologias de segurança legadas, podem permitir ataques generalizados a serviços protegidos por MFA.
“De nossa perspectiva no monitoramento de e-mail, nuvem e ataques híbridos, o maior aumento na atividade de ameaça está vinculado a aplicativos maliciosos de terceiros que abusam de tokens OAuth, que a Microsoft chama de ‘phishing de consentimento'”, disse Ryan Kalember, vice-presidente executivo da estratégia de segurança cibernética na Proofpoint.
As melhores tecnologias no momento para limitar os ataques são aquelas baseadas no padrão Fast Identity Online (FIDO) mais recente, FIDO2 , que usa a identidade do dispositivo para proteger o processo de autenticação contra atacantes remotos e uma variedade de tecnologias push que alertam o usuário em um registro dispositivo de qualquer tentativa de acesso e exige que eles aprove esse acesso.
“Há muita porcaria por aí, mas também existem boas soluções e eles estão desenvolvendo soluções melhores”, diz Grimes, da KnowBe4. “Mas tudo pode ser hackeado, então, além disso, você precisa treinar seus usuários finais para reconhecer os ataques. Só porque você tem MFA não significa que não pode ser hackeado.”Jornalista veterano de tecnologia há mais de 20 anos. Ex-engenheiro de pesquisa. Escrito para mais de duas dezenas de publicações, incluindo CNET News.com, Dark Reading, MIT’s Technology Review, Popular Science e Wired News. Cinco prêmios de jornalismo, incluindo Melhor Prazo …
