Microsoft w swoim blogu podjął temat ataków na użytkowników logujących się z użyciem MFA.
Zgodnie z aktualnymi trendami zaleca się stosowanie MFA w każdym przypadku przy logowaniu zdalnym. Regulacje i zalecenia rynkowe, np. dla instytucji finansowych, mówią o obowiązkowym stosowaniu MFA, sugerując różne rozwiązania: OTP, biometria, klucz sprzętowy. Do wyboru, do koloru.
Skoro jest środek zaradczy, by wzmocnić element logowania poprzez użycie MFA, źli aktorzy zaczęli stosować inne techniki, by przejąć konta użytkowników.
Zespół Microsoft Detection and Response Team (DART) zaobserwował wzrost liczby napastników wykorzystujących do tego celu kradzież tokenów. Dzieje się tak poprzez skompromitowanie i odtworzenie tokena wydanego dla danej tożsamości, która skończyła już uwierzytelnianie. Atakujący więc, spełnia wymóg MFA i jest w stanie się zalogować do zasobów. Problemem jest bardziej złożony, ponieważ niewiele organizacji jest w stanie zweryfikować, czy token pochodzi z kradzieży i jest ponownie użyty, czy też jest to ten właściwy i pochodzi od użytkownika organizacji.
Jakie ma to znaczenie?
Dziś praca przy komputerze nie zna granic. Bardzo mocno uwydatniła się ona w pandemii, pokazała wielu organizacjom, że jednak da się pracować zdalnie na prawie każdym stanowisku. I tutaj dochodzimy do problemu, który wiąże się ze sprzętem, gdyż nie każdy pracownik ma firmowe urządzenie. Zalogowanie się z obcego dla organizacji urządzenia zwiększa możliwość wykradzenia tokenu i ponownego jego użycia.
Microsoft wspomina, że w Internecie można znaleźć narzędzia open-source do kradzieży takich tokenów, co sugeruje, że mogą być używane na masową skalę.
Taki token jest bardzo ważnym składnikiem platformy tożsamości OAuth 2.0, czyli Azure Active Directory (AAD). Użytkownik musi przedstawić ważny token, by uzyskać dostęp do zasobu chronionego przez AAD. Aby uzyskać ten token, użytkownik musi zalogować się do Azure AD przy użyciu swoich danych uwierzytelniających. W tym momencie, w zależności od zasad, może być poproszony o wypełnienie MFA. Następnie użytkownik przedstawia token aplikacji internetowej, która sprawdza poprawność tokena i umożliwia użytkownikowi dostęp.
Tak to wygląda poniżej:
W wydanym tokenie AAD istnieją informacje, takie jak: nazwa użytkownika, źródłowy adres IP, MFA czy uprawnienia, które posiada użytkownik.
Dwie z najczęstszych technik kradzieży tokenów, jakie zauważył DART, to techniki typu adversary-in-the-middle (AitM) lub wykorzystanie złośliwego oprogramowania typu commodity (które umożliwia scenariusz „pass-the-cookie”).
W przypadku tradycyjnego phishingu, atakujący posiada dane logowania użytkownika – tutaj jest on zatrzymywany przez MFA, jeśli jest włączone, co pokazuje poniższy obrazek:
Atak phishingowy typu Adversary-in-the-middle (AitM)
Wraz ze wzrostem zabezpieczeń, wzrasta również stopień skomplikowania ataków. Jednym z nich jest atak typu Adversary-in-the-middle (AitM). W tym ataku umieszcza się pomiędzy użytkownikiem a aplikacją złośliwą infrastrukturę, która przechwytuje dane logowania oraz token.
Po przechwyceniu danych logowania, atakujący jest w stanie, jeśli jest to zwykły użytkownik, dostać się do aplikacji, np. poczty korporacyjnej. Jeśli nastąpi przejęcie danych administratora, wtedy cała infrastruktura jest skompromitowana.
Atak typu pass-the-cookie
Atak typu pass-the-cookie to rodzaj ataku, w którym atakujący może ominąć uwierzytelnianie poprzez naruszenie plików cookie przeglądarki. Na wysokim poziomie, ciasteczka przeglądarki pozwalają aplikacjom internetowym na przechowywanie informacji o uwierzytelnianiu użytkownika. Dzięki temu witryna może utrzymać użytkownika zalogowanego, a nie ciągle pytać o dane uwierzytelniające za każdym razem, gdy kliknie on nową stronę.
„Pass-the-cookie” przypomina ataki pass-the-hash lub pass-the-ticket w Active Directory. Po uwierzytelnieniu do Azure AD za pośrednictwem przeglądarki tworzony jest plik cookie, który jest przechowywany dla tej sesji. Jeśli atakujący może skompromitować urządzenie i wyodrębnić pliki cookie przeglądarki, może przekazać je do osobnej przeglądarki internetowej w innym systemie, omijając po drodze punkty kontroli bezpieczeństwa. Szczególnie zagrożeni są użytkownicy, którzy uzyskują dostęp do zasobów korporacyjnych na urządzeniach osobistych. Urządzenia osobiste często mają słabsze zabezpieczenia niż urządzenia zarządzane przez firmę, a personel IT nie ma wglądu w te urządzenia, aby stwierdzić, czy doszło do kompromisu. Urządzenia te mają również dodatkowe wektory ataku, takie jak osobiste adresy e-mail lub konta w mediach społecznościowych, do których użytkownicy mogą mieć dostęp na tym samym urządzeniu. Atakujący może przechwycić te systemy i wykraść ciasteczka uwierzytelniające związane zarówno z kontami osobistymi, jak i poświadczeniami korporacyjnymi użytkowników.
Schemat opisujący działanie ataku pass-the-cookie:
Jakie remedium sugeruje Microsoft?
Przede wszystkim organizacje powinny zapewnić sobie wgląd w pełną widoczność tego, gdzie i jak ich użytkownicy się uwierzytelniają.
W przypadku używania urządzeń niefirmowych, niezarządzalnych, firma zaleca:
- redukcja czasu sesji
- krótki czas życia tokena
- implementacja aplikacji warunkowego dostępu, tzw. conditional access app
Dla wszystkich użytkowników w organizacji, niezależnie od używanych przez nich urządzeń (czy to firmowych czy tez prywatnych), Microsoft zaleca:
- wdrożenie kluczy sprzętowych odpornych na phishing, jak klucze FIDO2, Windows Hello czy autentykację opartą na certyfikatach, tzw. certification based authentication (CBA)
- użytkownicy posiadający wysokie uprawnienia, powinni mieć oddzielną tożsamość w chmurze do czynności administracyjnych
Artykuł powstał na podstawie bloga Microsoft, gdzie można przeczytać więcej o na ten temat.
P.S.
Klucze Yubikey wspierają odporny na phishing protokół FIDO2 a producent, firma Yubico jest współtwórcą tego standardu – bezpiecznego logowania, które eliminuje hasło.
Dodatkowo, niedawno firma Yubico wraz z Microsoft ogłosiły, że klucze Yubikey, jako jedyne klucze sprzętowe U2F, wspierają CBA, czyli certificate based authentication.