Bilgisayar korsanları, kurumsal kimlik bilgilerine erişmek ve büyük ağları ihlal etmek için sosyal mühendislik saldırılarını daha sık kullanıyorlar. Çok faktörlü kimlik doğrulamanın yükselişiyle daha popüler hale gelen bu saldırıların bir bileşeni, MFA yorgunluğu adı verilen bir tekniktir.
Kurumsal ağları ihlal ederken, bilgisayar korsanları genellikle VPN'lere ve dahili ağa erişmek için çalıntı çalışan giriş bilgileri kullanır.
Gerçek şu ki, kurumsal kimlik bilgileri elde etmek, kimlik avı saldırıları, kötü amaçlı yazılımlar, veri ihlallerinden sızan kimlik bilgileri gibi çeşitli yöntemleri kullanabilen tehdit aktörleri için zor olmaktan çok uzaktır.
Buna karşı koymak için, işletmeler, kullanıcıların ilk olarak ek bir doğrulama biçimi girmeden bir ağa giriş yapmasını önlemek için giderek daha fazla faktörlü kimlik doğrulamasını benimsemiştir. Bu ek bilgiler, tek seferlik bir parola, giriş girişimini doğrulamanızı isteyen bir istem veya donanım güvenlik anahtarlarının kullanımını isteyen bir istem olabilir.
Tehdit aktörleri, çok faktörlü kimlik doğrulamasını atlamak için çok sayıda yöntem kullanabilirken, çoğu kötü amaçlı yazılım veya Middle-in-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the Middle Phishing saldırı çerçeveleri aracılığıyla çerezleri çalmak etrafında döner.
Bununla birlikte, 'MFA yorgunluğu' adı verilen bir sosyal mühendislik tekniği, yani 'MFA push spam', kötü amaçlı yazılım veya kimlik avı altyapısı gerektirmediği ve saldırılarda başarılı olduğu kanıtlandığı için tehdit aktörleri arasında daha popüler büyüyor.
Bir kuruluşun çok faktörlü kimlik doğrulaması 'push' bildirimlerini kullanacak şekilde yapılandırıldığında, çalışan kimlik bilgileriyle giriş yapmaya çalıştığında mobil cihazlarında bir istem görür. Bu MFA push bildirimleri kullanıcıdan giriş girişimini doğrulamasını ister ve aşağıda gösterildiği gibi girişin nereye denendiğini gösterecektir.
Bir MFA yorgunluğu saldırısı, bir tehdit oyuncusu, çalınan kimlik bilgileriyle tekrar tekrar giriş yapmaya çalışan bir komut dosyası çalıştırması ve hesabın sahibinin mobil cihazına sonsuz bir MFA itme istek akışı gibi hissettiren bir komut dosyası çalıştırmasıdır.
Amaç, bunu gece gündüz sürdürmek, hedefin siber güvenlik duruşunu yıkmak ve bu MFA istemlerine ilişkin bir "yorgunluk" duygusu vermektir.
Siber güvenlik destek şirketi tarafından oluşturulan bu YouTube videosunda bir MFA yorgunluk saldırısı veya MFA spamının gösterilmesi Reformed.
Birçok durumda, tehdit aktörleri tekrarlanan MFA bildirimlerini zorlayacak ve daha sonra kullanıcıyı MFA istemini kabul etmeye ikna etmek için destek gibi davranarak e -posta, mesajlaşma platformları veya telefon üzerinden hedefle iletişime geçecektir.
Nihayetinde, hedefler o kadar bunalır ki, yanlışlıkla 'onay' düğmesine tıkladılar veya telefonlarında aldıkları bildirimlerin tufanını durdurmak için MFA isteğini kabul ederler.
Bu tür bir sosyal mühendis tekniğinin, Microsoft, Cisco ve şimdi Uber gibi büyük ve tanınmış kuruluşları ihlal ederken Lapsus $ ve Yanluowang tehdit aktörleri tarafından çok başarılı olduğu kanıtlanmıştır.
Bu nedenle, bir MFA yorgunluğu/spam saldırısının hedefi olan bir çalışan iseniz ve bir MFA itme bildirimleri barajı alırsanız, panik yapmayın, MFA talebini onaylamayın ve bilinmeyen kişilerle konuşmazsanız kuruluşunuzdan.
Bunun yerine, şirketiniz, BT departmanınız veya amirleriniz için bilinen BT yöneticileriyle iletişime geçin ve hesabınızın tehlikeye atıldığına ve saldırı altında olduğuna inandığınızı açıklayın. Hacker'ın giriş yapmaya devam etmesini ve daha fazla MFA push bildirimleri oluşturmasını önlemek için mümkünse hesabınızın şifresini de değiştirmelisiniz.
Şifreniz değiştirildikten sonra, tehdit oyuncusu artık MFA spam yayınlayamayacak ve uzlaşma araştırılırken size ve yöneticilerinize nefes almasını sağlayacaktır.
Çok faktörlü kimlik doğrulama veya kimlik yönetimi uzmanları gibi davranmıyoruz, ancak diğerleri, düşüncelerini BleepingComputer veya Twitter'da paylaşacak kadar zarifti.
Güvenlik uzmanları, MFA push bildirimlerinin devre dışı bırakılmasını tavsiye ettiler ve bu mümkün değilse, artan güvenlik için sayı eşleştirmesini sağlıyor.
Duo şimdi numara eşleştirme sunuyor, buna Duo Doğrulanmış Push olarak adlandırılıyor - Duo Geri Duo Geri Dönüp bunu etkinleştiren orgs'ları şiddetle tavsiye ediyorum. https://t.co/vfz9gvkdqq pic.twitter.com/t99vupdrpp
Microsoft'un Duo'da Doğrulanmış Push olarak da bilinen MFA numarası eşleştirmesi, kimlik bilgileriyle oturum açmaya çalışan bir kullanıcıya bir dizi numarayı görüntüleyen bir özelliktir. Bu numaralar daha sonra hesapta oturum açtıklarını doğrulamak için Mobil cihazlarındaki hesap sahibinin Authenticator uygulamasına girilmelidir.
Yalnızca hesaba giriş yapan kişi bu numaraları göreceğinden, bir kullanıcıyı bunları kimlik doğrulama uygulamasına sokmaya ikna etme girişimleri, özellikle bu giriş denemesi başka bir ülkeden ise hemen şüpheli olarak görülmelidir.
Microsoft, özellik genel olarak kullanılabilir hale geldikten hemen sonra tüm Azure Active Directory kiracıları için varsayılan olarak etkinleştirmeyi planlıyor.
Başka bir öneri, kullanıcı başına [Microsoft, Duo, OKTA] başına MFA kimlik doğrulama talebinin sayısını sınırlamaktır ve bu eşikler aşıldığında, hesapları kilitleyin veya etki alanı yöneticisine uyarıları artırmaktır.
MFA sağlayıcıları * varsayılan olarak * kısa bir süre içinde çok fazla bilgi gönderildiğinde hesapları otomatik olarak geçici olarak kilitlemelidir. Duo, 10 başarısız denemenin bir lokavt için varsayılan olduğunu iddia ettiği için bunun burada kullanılıp kullanılmadığı belli değil. 16/n https://t.co/nsepx03fch
Bazıları işletmenin girişleri güvence altına almak için Fido donanım güvenlik anahtarlarına geçmesini önermektedir, ancak diğer araştırmacılar ve güvenlik profesyonelleri, benimsemeyi gerektirecek kadar erken olduğu ve bazı çevrimiçi hizmetlerle uyumlu olmayabileceğinden endişe duymaktadır.
Kuruluşunuz yalnızca girişler için güvenlik anahtarları gerektirmenin karmaşıklıklarının üstesinden gelebilirse, bu, giriş güvenliğinizi artırmak için alabileceğiniz bir yön olabilir.
Son olarak, BleepingComputer, Microsoft, Okta, Duo ve Cyberark'tan aşağıda paylaştığımız bu saldırıları hafifletme konusunda öneriler aldı.
MFA yorgunluk saldırılarını azaltmanın en iyi yoluyla ilgili sorularımıza yanıt olarak, Microsoft'un kimlik güvenliği direktörü Alex Weinert aşağıdaki ipuçlarını paylaştı:
OKTA’nın Güvenlik Ürünleri Direktörü Sumit Bahl, MFA spamını azaltma konusunda BleepingComputer okuyucuları için bazı genel tavsiyelerde bulundu:
OKTA'nın hizmetlerini kullananlar için Bahl ayrıca aşağıdaki ipuçlarını önerdi:
OKTA’nın uyarlanabilir çok faktörlü kimlik doğrulaması (uyarlanabilir MFA), kullanıcının bağlamını güvenliği uygulamak için giriş zamanında analiz eder. Bu yaklaşım, uyarlanabilir, riske dayalı bir yaklaşım yoluyla erişime izin vermek veya reddetmek için cihaz duruşunu, kullanıcı davranışını ve konum bağlamını dikkate alır. Risk yüksekse, kullanıcı Okta Verify, WebAuthn vb. Güçlü kimlik doğrulama faktörleri için istenmelidir. Ayrıca, kuruluşlar MFA yorgunluk saldırısı riskini azaltmak için şifre dışı kimlik doğrulama seçeneğini dikkate almalıdır. OKTA TehditIssight ile eşleştirmek size daha güçlü bir risk değerlendirme aracı sağlar, çünkü TehditInight, aksi takdirde sorun yaratabilecek riskleri ortaya çıkarmak için bir kaynak zenginliğinden verileri analiz eder. Okta uç noktalarına yönelik saldırılar. TehditIsight, tüm oturum açma olaylarından önce ön kimlik doğrulaması değerlendirilir, bu nedenle hesap kilitleme konusunu ele alır. Dolayısıyla, tehdit ışığı şüpheli IP adreslerini engellediğinde, şüpheli IP'lerden gelen giriş denemeleri bir kullanıcının giriş denemelerine sayılmaz. Bu, bilinen bir cihazdan OKTA'ya erişen meşru kullanıcıların hala hesaplarına erişebileceği anlamına gelir.
Riske dayalı kimlik doğrulama, kullanıcıların giriş yapmaya çalıştığı bağlamı tanımlar ve senaryo, bunu gerektirdiğinde önemli ölçüde daha güçlü kimlik doğrulama teknikleri ve iyileştirme uygulayarak kuruluşların güvenliği otomatikleştirmelerini sağlar. Kullanıcı oturum açmaya çalışırken, uyarlanabilir MFA'nın bir özelliği olan risk tabanlı kimlik doğrulama, konumları, cihazları ve IP adresi gibi bağlamsal ipuçlarına dayanan denemeye bir risk puanı atar. Risk seviyesine dayanarak, çözüm erişimi reddedebilir veya kullanıcıyı potansiyel ihlallere karşı korumak için daha güçlü kimlik doğrulama faktörü göndermesini ister.
Cyberark'ın Kırmızı Takım Hizmetleri Başkan Yardımcısı Shay Nahari de MFA'yı güçlendirme ve MFA yorgunluğunu önleme konusunda ipuçları verdi.
"MFA yorgunluğu sadece belirli bir MFA saldırısı türüdür. Saldırganlar yenilik yapmaya devam ettikçe, MFA'yı hedeflemenin ve kritik güvenlik kontrollerini atlatmanın yeni yollarını bulurlar. Bir kerelik şifre (OTP), bir push bildirimine karşı. Tekrarlanan kimlik doğrulama mesajları ve temas noktalarıyla karşılaştığında, kullanıcılar genellikle dikkatsiz hale gelebilir ve saldırganlar için açıklıklar yaratabilir. OTP, kullanıcıdan daha fazla katılım gerektirse de, MFA Yorgunluk. Ayrıca, bir uç nokta ayrıcalık yönetimi çözümü [Cyberark Endpoint ayrıcalık yöneticisi gibi], bir saldırganın MFA kontrollerini atlamasına izin verebilecek çerezlerin çalınmasını önlemeye yardımcı olabilir. Büyük savunma stratejileri, müşterinin koruyabilen uç noktası ayrıcalık yönetimi- Yan kimlik bilgileri önemli bir katmandır. Buna ek olarak, SOC, belirli eşikler aşılırsa bunu bilgilendiren anomali tabanlı tetikleyiciler ayarlayabilir veya şüpheli IP adreslerinden kullanıcı kimlik doğrulamasını engelleyebilir. Ekibimin düşman simülasyon egzersizlerinin bir parçası olarak, zor uzlaşma göstergeleri (IOCS) dahil olmak üzere farklı tespit türlerine bakıyoruz. Zor IOC'ler belirli bir saldırı için temeldir. MFA yorgunluğu durumunda, saldırgan zaten kimlik bilgilerine erişebilir ve erişim elde etmek için MFA bildirimini onaylamasını istemektedir. Bir kuruluş MFA yorgunluğunu engellemede başarılı olursa, saldırgan başka bir saldırı yolu seçmek zorunda kalacaktır. OTP yapılandırması, kullanıcıyı bu tür saldırılara daha az duyarlı hale getirebilir ve riski önemli ölçüde azaltabilir. ”
Duo'ya saldırıları engelleme konusundaki önerilerini istediğimizde (“Push Phinghing” ikilisi tarafından dublaj), bu makaleyi tavsiye ettiler.
Uber hacklendi, dahili sistemler ihlal edilen ve güvenlik açığı raporları çalındı
Bilgisayar korsanları, BEC Scams için Microsoft 365 hesaplarını izlemek için AITM saldırısını kullanıyor
Yeni MFA-Bypassing kimlik avı kiti ile hedeflenen Microsoft hesapları
GTA 6 Kaynak Kodu ve Videolar Rockstar Games Hack'ten Sonra Sızan
Hive fidye yazılımı, Bell Canada yan kuruluşuna siber saldırı iddiasında bulunuyor
Kaynak: Bleeping Computer