Vulnerabilidades críticas na implementação de Multi-Factor Authentication (MFA) em ambientes de nuvem onde WS-Trust está habilitado podem permitir que invasores contornem MFA e acessem aplicativos em nuvem como Microsoft 365, que usam o protocolo de acordo com uma nova pesquisa da Ponto de prova.
Como resultado da maneira como o logon de sessão do Microsoft 365 é projetado, um invasor pode obter acesso total à conta de um alvo, incluindo seus emails, arquivos, contatos, dados e muito mais. No entanto, ao mesmo tempo, essas vulnerabilidades também podem ser exploradas para obter acesso a outros serviços em nuvem da Microsoft, incluindo ambientes de produção e desenvolvimento, como Azure e Visual Studio.
A Proofpoint divulgou essas vulnerabilidades publicamente pela primeira vez em sua conferência de usuários virtuais Proofpoint Protect, mas elas já existem há anos. Os pesquisadores da empresa testaram várias soluções de provedor de identidade (IDP), identificaram aquelas que eram suscetíveis e resolveram problemas de segurança.
A Microsoft está ciente de que o protocolo WS-Trust é “inerentemente inseguro” e em um documento de apoio, a empresa disse que retirará o protocolo para todos os novos locatários em outubro deste ano, para todos os novos ambientes dentro de um locatário em Abril. 2021 e para todos os ambientes novos e existentes em um inquilino em abril de 2022.
Em alguns casos, um invasor pode falsificar seu endereço IP para ignorar o MFA simplesmente manipulando o cabeçalho da solicitação, enquanto em outros, alterar o cabeçalho do agente do usuário fez com que o IDP identificasse incorretamente o protocolo e acreditasse que estava usando autenticação. moderno. De acordo com a Proofpoint, em todos os casos a Microsoft registra a conexão como “Autenticação Moderna” porque o exploit passou do protocolo legado para o moderno.
Ignorando MFA
Com mais funcionários trabalhando em casa do que nunca durante a pandemia, a MFA está se tornando rapidamente uma camada de segurança obrigatória para aplicativos em nuvem. No entanto, existem vários métodos comumente conhecidos para evitar AFM.
O primeiro deles é o phishing em tempo real, no qual um invasor rouba um fator extra de um usuário. Esse método pode até ser automatizado com ferramentas como Modlishka, mas os invasores devem atualizar suas ferramentas com freqüência para evitar a detecção pelos principais fornecedores de segurança. Além disso, outro método de phishing em tempo real empregado por cibercriminosos é chamado de “reflexão de desafio”, no qual os usuários são solicitados a preencher suas credenciais de MFA em um site de phishing onde são distribuídas aos invasores em tempo real.
Hack de canal é outro método usado para contornar MFA quando o telefone ou computador da vítima é invadido por malware. Esse malware pode usar injeções man-in-the-browser ou web para obter essas informações, enquanto alguns malwares podem roubar as credenciais MFA do smartphone de um usuário.
Finalmente, um método mais econômico e escalonável para contornar o MFA aproveita os protocolos legados para ataques a contas na nuvem. Esse método de desvio pode ser facilmente automatizado e aplicado a despejos de credenciais da web ou credenciais obtidas de phishing.
Embora o MFA possa fornecer uma camada adicional de segurança para proteger as contas do usuário, o uso de uma chave de segurança física pode fornecer proteção ainda maior para as credenciais do usuário, já que os dispositivos físicos são necessários para acessar suas contas. em linha.
