Novas vulnerabilidades críticas no MFA do Microsoft Office365

Como resultado da maneira como o logon de sessão do Microsoft 365 é projetado, um invasor pode obter acesso total à conta de um alvo, incluindo seus emails, arquivos, contatos, dados e muito mais. Ao mesmo tempo, porém, essas vulnerabilidades também podem ser aproveitadas para obter acesso a outros serviços em nuvem da Microsoft, incluindo ambientes de produção e desenvolvimento, como Azure e Visual Studio.

A Proofpoint revelou pela primeira vez essas vulnerabilidades publicamente em sua conferência de usuário virtual Proofpoint Protect, mas elas já existiam há anos. Os pesquisadores da empresa testaram várias soluções de Provedor de Identidade (IDP), identificaram aquelas que eram suscetíveis e resolveram os problemas de segurança.

A Microsoft está ciente de que o protocolo WS-Trust é “inerentemente inseguro” e em um documento de suporte , a empresa disse que retirará o protocolo para todos os novos locatários em outubro deste ano, para todos os novos ambientes dentro de um locatário em abril de 2021 e para todos os ambientes novos e existentes dentro de um inquilino em abril de 2022.

Em alguns casos, um invasor pode falsificar seu endereço IP para ignorar o MFA usando uma manipulação de cabeçalho de solicitação simples, enquanto em outros, alterar o cabeçalho do agente do usuário fez com que o IDP identificasse incorretamente o protocolo e acreditasse que estava usando a autenticação moderna. De acordo com a Proofpoint, em todos os casos a Microsoft registra a conexão como “Autenticação Moderna” devido ao pivotamento do exploit do protocolo legado para o moderno.

Ignorando MFA

Com mais funcionários trabalhando em casa do que nunca durante a pandemia, a MFA está rapidamente se tornando uma camada de segurança obrigatória para aplicativos em nuvem. No entanto, existem vários métodos comumente conhecidos para contornar o MFA.

O primeiro deles é o phishing em tempo real, no qual um invasor rouba o fator extra de um usuário. Esse método pode até ser automatizado usando ferramentas como Modlishka, mas os invasores devem atualizar suas ferramentas com frequência para evitar a detecção de grandes fornecedores de segurança. Além disso, outro método de phishing em tempo real empregado por cibercriminosos é chamado de “reflexão de desafio”, onde os usuários são solicitados a preencher suas credenciais de MFA em um site de phishing, onde são distribuídas aos invasores em tempo real.

Hack de canal é outro método usado para contornar o MFA, onde o telefone ou computador da vítima é invadido por malware. Esse malware pode então usar o man-in-the-browser ou web injects para obter essas informações, enquanto alguns malware são capazes de roubar credenciais MFA do smartphone do usuário.

Finalmente, um método mais barato e escalável de contornar o MFA aproveita os protocolos legados para ataques a contas na nuvem. Esse método de desvio pode ser facilmente automatizado e aplicado a despejos de credenciais da web ou credenciais obtidas de phishing.

Embora o MFA possa fornecer uma camada de segurança extra para proteger as contas do usuário, o uso de uma chave de segurança física pode fornecer proteção ainda maior para as credenciais do usuário, pois um dispositivo físico é necessário para acessar suas contas online.

Fonte: 12