Kiedy uwierzytelnianie wieloskładnikowe (MFA) nie zapewnia bezpieczeństwa?

Kiedy uwierzytelnianie wieloskładnikowe (MFA) nie zapewnia bezpieczeństwa?

19 stycznia 2021 0 przez Maciej Lewczuk

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) twierdzi, że cyberprzestępcy omijają uwierzytelnianie wieloskładnikowe (MFA) i włamują się na konta usług w chmurze.

CISA wie o kilku ostatnich udanych cyberatakach na usługi chmurowe różnych organizacji. Podmioty cyberzagrożeń biorące udział w tych atakach stosowały różne taktyki i techniki. Były to phishing, próby logowania się poprzez tak zwaną brutalną siłę (brute force) najprawdopodobniej „pass-the-cookie”. Użyto ich w celu wykorzystania słabych punktów w praktykach zabezpieczania kont danej organizacji do usług w chmurze.” – podaje CISA.

Kiedy uwierzytelnianie wieloskładnikowe (MFA) nie zapewnia bezpieczeństwa?

CISA informuje, że w czasie analizy ostatnich prób włamań do niektórych zasobów chmurowych cyberprzestępcy używali różnych technik. Gdy korzystali z ataków siłowych, nie udało im się włamać, gdyż nie mogli odgadnąć danych uwierzytelniających. Zatrzymywały ich także włączone zabezpieczania przez uwierzytelnianie wieloskładnikowe MFA.

Potwierdzono także jedno zwycięstwo hakerów nad wieloskładnikowym uwierzytelnianiem, gdyż udało im się sforsować takie zabezpieczenie dzięki zastosowaniu techniki „pass-the-cookie”. Polega ona na tym, że cyberprzestępcy przejmują wcześniej uwierzytelnioną sesję przy użyciu skradzionych plików cookie sesji do logowania się do usług online lub aplikacji internetowych.

„Poza modyfikacją istniejących reguł dotyczących poczty elektronicznej użytkowników, podmioty odpowiedzialne za zagrożenia stworzyły nowe reguły dotyczące skrzynek pocztowych, które przekazywały pewne wiadomości otrzymywane przez użytkowników (w szczególności wiadomości z określonymi słowami kluczowymi związanymi z wyłudzaniem informacji) do folderu Really Simple Syndication (RSS) Feeds lub RSS Subscriptions, starając się nie dopuścić do tego, aby ostrzeżenia były widoczne dla uprawnionych użytkowników.” – dodała CISA.

FBI ostrzegło również amerykańskie organizacje przed oszustami wykorzystującymi automatyczne przekazywanie wiadomości w internetowych klientach poczty elektronicznej w atakach BEC (Business Email Compromise).

Kogo atakowali hakerzy?

CISA twierdzi, że ataki hakerów wymierzone były głównie w pracowników korzystających z urządzeń firmowych lub osobistych podczas uzyskiwania dostępu do usług chmurowych ich organizacji pracując zdalnie.

Sukcesy przynosiły one tylko w przypadkach, gdy nie zachowano odpowiednio poważnego podejścia do cyberbezpieczeństwa dostępu do kont firmowych w chmurze. Najczęstsze przyczyny to niekorzystanie z uwierzytelniania wieloskładnikowego MFA i stosowanie prostych i łatwych do rozszyfrowania haseł.

Kolejnym problemem jest przekazywanie danych uwierzytelniających poprzez korespondencję wewnętrzną w firmie, dzięki czemu włamanie do poczty pozwala przechwycić je i wykorzystać do cyberataków.

Jak wzmocnić cyberochronę?

CISA publikuje wskazówki dotyczące tego, jak firmy powinny zabezpieczać dostęp do usług chmurowych i blokować ataki hakerów. Porady są dostępne na stronie CISA.

W ubiegłym roku także my opisywaliśmy temat zmiany haseł, a także jak działa uwierzytelnianie wieloskładnikowe.

Źródło: CISA, Security Magazine