Microsoft, kaygan kimlik avının MFA korumaları etrafında kıvrıldığını söylüyor

Eylül 2021’den bu yana 10.000’den fazla kuruluşu hedefleyen büyük ölçekli bir kimlik avı kampanyası, parolaları çalmak, oturum açma oturumlarını ele geçirmek ve çok faktörlü kimlik doğrulama (MFA) dahil kimlik doğrulama özelliklerini atlamak için ortadaki saldırgan (AiTM) kimlik avı sitelerini kullandı.

Bu, Microsoft’un bu hafta kullanıcıları tehdide karşı uyaran ve araştırmasının bulgularını yayınlayan 365 Defender Araştırma Ekibi’ne göre.

Saldırganlar tarafından kullanılan ilk cazibe, alıcıya bir sesli mesaj almaları gerektiğini bildiren bir e-postaydı.

Sonraki saldırı zinciri, her modern web hizmeti tarafından ortak olarak tutulan bir özellikten yararlandı – kimlik doğrulamasından sonra hizmete, kullanıcının web sitesinde kimliğinin doğrulandığını kanıtlayan oturum tanımlama bilgilerinin kullanılması.

Ancak saldırgan, kullanıcı ile ziyaret etmek istediği hizmet web sitesi arasında HTTP paketlerini kullanıcıdan hizmete ve bunun tersi şekilde vekil eden bir web sunucusu dağıtırsa, esasen hem kullanıcıyı kimlik bilgilerini kullanarak hizmette kimlik doğrulaması yapması için kandırır ve hem de hizmetin, her ikisi de daha sonra ele geçirilen ve çalınan meşru bir oturum tanımlama bilgisi döndürmesine neden olur.

Bu kampanyada proxy web sitesi, kuruluşun Azure Active Directory oturum açma sayfasıydı, ancak aynı teknik başka bir yerde de işe yarayabilirdi.

Saldırgan hem kimlik bilgilerine hem de oturum tanımlama bilgilerine sahip olduğunda, MFA etkinleştirilmiş olsa bile kimlik doğrulama sürecini atlamak için bunu tarayıcılarına enjekte edebilir. Bu arada, habersiz kurban, ceplerini yeni topladıklarının farkında olmadan işleriyle ilgili ilerler.

Bu yöntem aynı zamanda saldırganlar için daha uygundur, çünkü bu, kurbana güvenilir bir sahte site sunabilecekleri anlamına gelir – yalnızca URL farklı olmak üzere – ve genellikle olduğu gibi sahte bir kimlik avı sitesi oluşturmak için çaba harcamak zorunda kalmazlar. dava.

Kampanyanın arkasındaki saldırganlar, daha sonra posta kutularına erişmek için çalınan kimlik bilgilerini ve oturum tanımlama bilgilerini kullandılar ve alt hedeflere karşı iş e-posta güvenliği (BEC) saldırıları gerçekleştirmek için bunları kullandılar.

Kampanyanın başarısı hakkında yorum yapan CybSafe CEO’su ve kurucu ortağı Oz Alashe, neden bu kadar çok kuruluştaki bireylerin kampanyaya kapıldığının açık olduğunu söyledi.

“Microsoft’u hedefleyen kimlik avı kampanyası, saldırganların insanların kimlik bilgilerini çalmak için kullandıkları yöntemleri gösteriyor” dedi. “365 kullanıcının yönlendirildiği bu sahte, benzer giriş sayfalarını eğitimsiz bir gözle algılamak zor, bu yüzden bu kadar çok kişi ve kuruluşun yakalanması şaşırtıcı değil.

“İnsanlar oturum açma bilgilerini girdikten sonra, saldırganlar kurumsal dijital krallığın anahtarlarına sahip olurlar ve oradan kurumsal dosyalara erişebilir ve hassas verileri alabilirler.

“Bu saldırılara karşı korunmanın ilk ve en pratik adımı, çalışanların yalnızca masaüstü uygulamalarını kullanarak 365’e giriş yapmalarını desteklemek ve onlara hatırlatacak çok sayıda dürtü olduğundan emin olmaktır. Bunu bir kez söylemek yeterli değil – bu saldırılar insanları kandırmak için ‘bu yeni bir şey olmalı’ veya ‘sadece bu seferlik gerekli’ diye düşündürmek için tasarlandı.”

Alashe şunları ekledi: “E-postalarla gönderilen tüm bağlantılara her zaman dikkatli davranılmalı ve bir URL’yi tıklamadan önce gerçekten doğru Microsoft 365 adresine (https://www.office.com/) sahip olduğundan emin olmak için her zaman iki kez kontrol edin. veya gizli bilgileri ifşa etmek.”

Benzer teknikleri kullanan MFA atlayan saldırıların yeni bir şey olmamasına ve saldırı zincirinin MFA teknolojisine özgü bir güvenlik açığından yararlanmamasına rağmen, Microsoft, kampanyanın kullanıcılar için ilgili etkileri olduğunu ve kuruluşların kendilerini korumak için gerçekten daha fazlasını yapabileceğini söyledi.

“Kendilerini benzer saldırılardan daha fazla korumak için, kuruluşlar ayrıca, oturum açma isteklerinin diğerlerinin yanı sıra kullanıcı veya grup üyeliği, IP konum bilgisi ve cihaz durumu gibi ek kimlik odaklı sinyaller kullanılarak değerlendirildiği koşullu erişim ilkeleriyle MFA’yı tamamlamayı düşünmelidir. ” ekibi yazısında söyledi.

“AiTM kimlik avı MFA’yı atlatmaya çalışırken, MFA uygulamasının kimlik güvenliğinde önemli bir sütun olmaya devam ettiğinin altını çizmek önemlidir. MFA, çok çeşitli tehditleri durdurmada hala çok etkilidir. Etkinliği, AiTM kimlik avının ilk etapta ortaya çıkmasının nedenidir.”

İsrail merkezli kimlik ve erişim yönetimi (IAM) uzmanı Silverfort’ta güvenlik araştırmacısı olan Sharon Nachshony şunları söyledi: “Bu kampanya ilginç çünkü saldırganların kimlikleri çalmak için kullanacakları yaratıcı yaklaşımları ve bir ağı ihlal ettiklerinde ortaya çıkan domino etkisini özetliyor. .

“Bu saldırının son oyunu olan BEC, tarihsel olarak tekil kuruluşlardan yüz binlerce doları sifonlamak için kullanıldı. Microsoft’un belirttiği gibi, 10.000 hedef varsa – bu, güvenliği ihlal edilmiş kimlik bilgilerinin potansiyel olarak büyük bir getirisidir.”

Nachshony şunları ekledi: “AiTM yeni bir yaklaşım olmasa da, kimlik doğrulamasından sonra oturum çerezini elde etmek, saldırganların nasıl gelişmek zorunda olduğunu ve nefret ettikleri MFA’dan kaçmak için adımlar atmak zorunda kaldıklarını gösteriyor. Microsoft tarafından özetlenen adımlara ek olarak, bir kuruluş meşru kullanıcıya MFA isteğiyle bir konum göndererek de bu saldırıyı yenebilir. Bu, farklı bir konumda bulunan proxy sunucularının yarattığı sorunu ortadan kaldıracak ve daha güvenli bir kimlik doğrulama süreci sağlayacaktır.”

Read Previous

Met polisi Oxford Circus’ta yüz tanıma teknolojisini kullanıyor

Read Next

En İyi Windows 10 İpuçları ve Püf Noktaları

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

İstanbul masöz -