Microsoft uzun zamandır müşterilerin Active Directory ve Azure Reklam hesaplarını daha iyi korumanın bir yolu olarak Multifactor Kimlik Doğrulaması'nı (MFA) etkinleştirmelerini önerdi.
MFA olmadan, geçerli bir kullanıcı adına ve şifreye erişimi olan herkes bir kullanıcının hesabına giriş yapabilir. MFA, kullanıcının hesabına erişmek için tek başına bir şifre yeterli olmaması için en az bir ek gereksinim ekler.
MFA birçok farklı biçimde gelir, ancak en yaygın MFA tekniklerinden biri, bir kullanıcının akıllı telefonuna tek seferlik bir kullanım kodunu mesaj atmayı ve daha sonra kullanıcının kimlik doğrulama işleminin bir parçası olarak bu kodu girmesini gerektirir.
Metin mesajlaşmasının kullanımı, bir organizasyonu çalınan şifreleri hesaplara erişim sağlamanın bir yolu olarak kullanmaya çalışan siber suçlulara karşı korumaya yönelik uzun bir yol kat ederken, metin mesajlaşma tabanlı MFA'nın kendi güvenlik açıkları vardır.
Bu güvenlik açıkları, son Twillo hack'inin kanıtladığı gibi, metin mesajlaşma ile ilişkili genel güvenlik eksikliğinden kaynaklanmaktadır. Bu hack, birkaç Twillo çalışanı, onları sahte web sitelerine yönlendiren hileli metin mesajlarına şifrelerini sıfırlamaları istendiğinde yanıt verdiğinde meydana geldi. Sonuç, bu çalışanların hesaplarından ödün verildi.
Twillo Hack'in neden olduğu en büyük sorun, şifreli mesajlaşma sağlayıcı sinyalinin telefon numarası doğrulaması için Twillo’nun hizmetlerini kullanmasıydı. Sonuç, 1900 sinyal kullanıcının hesaplarından ödün verildi.
Saldırganlar, bu kullanıcının önceki sinyal iletişimlerinden hiçbirine erişemeyecek olsa da, bir sinyal kullanıcısının hesabının farklı bir cihaza yeniden kaydedildiği en az bir olay vardı.
Twillo hack ve diğer 130 Twillo müşterisine yönelik sonraki saldırılar, kötü niyetli metin mesajlarıyla ilişkili bazı tehlikeleri göstermektedir. Ancak MFA söz konusu olduğunda, kuruluşların dikkate alması gereken bazı ek tehlikeler vardır.
Metin mesajlaşmayı MFA mekanizması olarak kullanmanın sorunu, yalnızca alıcının kimlik doğrulama kodunun gönderildiği fiziksel cihaza erişimi olduğunu varsaymasıdır. Bu varsayımla ilgili en belirgin sorun, cihazların her zaman dikilmesi olsa da, bir cihaz kilit kodu bir hırsızın sahibinin metin mesajlarına erişmesini mümkün kılabilir.
Bununla birlikte, daha büyük sorun, bir saldırganın metin mesajlarını başka bir cihaza yönlendirmenin bir yolu olarak kötü amaçlı yazılım veya hatta SIM değiştirmeyi kullanabilmesidir.
Bir an için bir saldırganın bir kullanıcının mobil cihazını kötü amaçlı yazılımla bulaşmayı başardığını ve bu kötü amaçlı yazılımın kullanıcının Active Directory kullanıcı adını ve parolayı saldırgana açıkladığını düşünün.
Bu durumda, kötü amaçlı yazılımların tüm kullanıcının metin mesajlarının bir kopyasını saldırganın cihazına ilettiğini de varsayalım. Bu, saldırganın çalınan kimlik bilgilerini kullanarak giriş işlemini başlatabileceği anlamına gelir.
Bu noktada, Active Directory ortamı kullanıcının mobil cihazına bir kerelik kullanım kodu gönderir. Saldırgan da kodu aldığından, kullanıcı olarak oturum açmak için gereken her şeye sahip olacaklardır.
Metin mesajlarıyla ilişkili güvenlik açıklarına rağmen, MFA hesapları güvenli tutmak için önemli bir araç olmaya devam etmektedir.
Bununla birlikte, kuruluşlar, iki veya daha fazla doğrulama yönteminin çok faktörlü kimlik doğrulamasına 2FA'dan (iki faktörlü kimlik doğrulama, yani kimlik bilgileri ve bir metin mesajı) yükselterek test tabanlı MFA ile ilişkili güvenlik açıkları üzerinde çalışmanın yollarını aramalıdır.
Specops, güvenli servis masası ürününde bunun mükemmel bir işini yapıyor. Bir kullanıcı şifre sıfırlama isteyen hizmet masasına başvurduğunda, kullanıcının kimliklerini kanıtlamak için MFA kullanması gerekir.
Aslında, kullanıcıya yardımcı olan teknisyen, kullanıcının kimliği olumlu tanımlanana kadar (kuruluşu en yaygın kimlik hırsızlığı biçimlerinden birine karşı koruyan) kullanıcının şifresini fiziksel olarak sıfırlayamaz.
SPECOPS Secure Service Masası, SMS metin mesajı aracılığıyla kullanıcının cihazına gönderilen bir kodun kullanımını desteklemesine rağmen, bu kod yerine veya bu kodla birlikte kullanılabilecek başka doğrulama yöntemleri de vardır.
Örneğin, bir kuruluş Duo Security, OKTA, Pingid, Biyometri veya Symantec VIP'i ek bir kimlik doğrulama hizmeti olarak kullanabilir.
Bir Yardım Masası çalışanına dayanan son kullanıcı doğrulamasının aksine, bir “robot” (veya bu durumda yazılım) temerrüde düşme, insan-hata unsurunu son kullanıcı doğrulama sürecinden çıkarır.
Ayrıca, metin tabanlı doğrulamayı ek seçeneklerle birleştirmek, MFA'yı gerçekten “çok” faktör haline getirir-bu da potansiyel metin tutma tehditleri riskini ikincil bir savunma hattı ile azaltır.
Her zaman ücretsiz denemeyle kendi aktif dizininizde specops güvenli servis masasını test edebilirsiniz.
Sponsorlu ve specops tarafından yazılmıştır
Bilgisayar korsanları Github hesaplarını sahte Circleci bildirimlerini kullanarak çalıyor
Varsayılan şifreler Active Directory'nizde mi saklanıyor? İşte nasıl kontrol edilecek
Uber Hack'in bize Gezinme Gezinme Hakkında Ne Öğretebileceği Neler
Sinyal, Android'de SMS metin mesajları için desteği kaldıracaktır
Lofygang Hackers, Discord, NPM hakkında kimlik bilgisi çalan bir işletme kurdu
Kaynak: Bleeping Computer