За пределами MFA: почему пароли все еще играют ключевую роль в безопасности?

Многофакторная аутентификация (multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».

К категориям таких доказательств относят:

• Знание — информация, которую знает субъект. Например пароль, ПИН-код, код, контрольное слово и т.д.
• Владение — вещь, которой обладает субъект. Например, электронная или магнитная карта, токен, флеш-память.
• Свойство, которым обладает субъект. Например биометрия, природные уникальные отличия: лицо, отпечатки пальцев, радужная оболочка глаз, последовательность ДНК.

Среди всех рекомендаций по обеспечению безопасности доступа, многофакторная аутентификация, безусловно является одной из наиболее часто встречающихся. И есть веские причины, по которым многие рекомендации по лучшим практикам и нормативные рамки теперь ставят MFA во главу списка необходимых настроек безопасности для защиты от компрометации. MFA может быть решающим слоем, предотвращающим взлом, поскольку пароли в одиночку часто оказываются легкой добычей для хакеров. Однако MFA не является непоколебимым средством – при взломе пользователя почти всегда ключевым фактором являет слабый или скомпрометированный пароль.

Как можно взломать MFA?

Организациям нужно помнить о том, что MFA не является универсальной панацеей от взломов. Многофакторную аутентификацию можно обойти, и это очень часто происходит. В этой статье мы рассмотрим 9 способов взлома MFA.

1. Бомбардировка запросами MFA

Одна из особенностей современных приложений аутентификации – это отправка уведомления с запросом пользователю либо принять, либо отклонить запрос на вход. Функция удобна для конечного пользователя, но атакующие могут использовать её в своих целях. Если злоумышленники уже скомпрометировали пароль, они могут попытаться войти в систему и сгенерировать запрос MFA на устройство пользователя.

Затем хакеры ожидают, что пользователь либо посчитает запрос законным и примет его, либо устанет от непрерывных запросов и примет его, чтобы остановить поток уведомлений. Такая техника атаки известна как бомбардировка запросами MFA (MFA prompt bombing) или усталость от многофакторной аутентификации (MFA Fatigue).

Такой метод атаки использует хакерская группировка 0ktapus. После компрометации учетных данных через SMS-фишинг, киберпреступники продолжают процесс аутентификации с машины, которой они управляют, и запрашивают код многофакторной аутентификации (MFA). Затем они генерируют бесконечную последовательность запросов MFA, пока пользователь не примет один из них из-за раздражения. Атакующие также могут использовать социальную инженерию, чтобы подтолкнуть жертву к принятию запроса. В 2022 году хакер, представившийся членом команды безопасности Uber, получил доступ, убедив сотрудника принять уведомление на его телефоне.

0ktapus также были известны использованием телефонных звонков, SMS и/или Telegram для имитации сотрудников ИТ-отдела Okta. Они инструктировали пользователей либо перейти на сайт сбора учетных данных с логотипом компании, либо загрузить инструмент удаленного администрирования. Если MFA была включена, противник либо напрямую вовлекал жертву, убеждая поделиться одноразовым паролем, либо косвенно, используя усталость от уведомлений MFA.

2. Социальная инженерия службы поддержки

Атакующие могут использовать социальную инженерию, чтобы обмануть службу поддержки и полностью обойти MFA, притворяясь, что они забыли свой пароль и получая доступ по телефонному звонку. Если агенты службы поддержки не применяют верификацию на этом этапе, они могут невольно предоставить хакеру первую опору для взлома.

Такой сценарий недавно разыгрался в атаке на MGM Resorts. Группировка Scattered Spider позвонила в службу поддержки для сброса пароля и получила первоначальный доступ. Затем хакеры использовали свой доступ для развертывания программы-вымогателя. Случай подчеркивает важность наличия у организаций средств для верификации личности пользователей, звонящих в службу поддержки с утверждением, что им нужно сбросить или разблокировать учетные записи.

3. Атаки типа «противник посередине» (AITM)

В ходе AITM-атаки (Adversary-in-the-Middle) киберпреступник обманывает пользователя, заставляя жертву думать, что она входит в легитимную сеть, приложение или веб-сайт, когда на самом деле жертва вводит свои данные на мошеннический ресурс. Атака означает, что хакеры могут перехватывать пароли и манипулировать запросами MFA и другими типами средств безопасности.

Например, фишинговое письмо может попасть в почтовый ящик сотрудника, если хакер выдает себя за известного и доверенного отправителя. Перейдя по ссылке в письме, жертва попадает на поддельный сайт, где хакеры собирают введенные пользователем учетные данные для повторного использования. В теории MFA должна остановить подобную кражу, требуя второй фактор аутентификации. Однако атакующие будут использовать тактику, называемую «передачей 2FA» (2FA pass-on) – как только жертва вводит свои данные на поддельный сайт, атакующий вводит те же данные на легитимный сайт. Такое действие вызовет запрос MFA, которого жертва ожидает и, вероятно, примет, предоставляя атакующему полный доступ.

Группа Storm-1167 известна созданием фишинговых страниц, имитирующих страницу аутентификации Microsoft, чтобы побудить жертву ввести свои учетные данные на веб-сайт. Затем другая фишинговая страница, имитирующая уже MFA-фактор для проверки входа в Microsoft, отображается жертве, которая вводит код и предоставляет хакеру доступ к своей учетной записи. Оттуда киберпреступник получает полный доступ к электронной почте жертвы и использует ее в качестве платформы для многоэтапной фишинговой атаки.

4. Перехват сеанса

Перехват сеанса аналогичен AITM-атаке, поскольку при нем злоумышленник внедряется в центр легитимного процесса и использует его. Когда пользователь проходит аутентификацию с использованием своего пароля и MFA, многие приложения используют cookie-файл или токен сеанса, чтобы запомнить, что пользователь прошел проверку подлинности, и предоставить доступ к защищенным ресурсам.

Cookie-файл или токен предотвращает необходимость многократной аутентификации пользователя. Но если злоумышленник использует инструмент Evilginx для кражи токена сеанса или куки, он может замаскироваться под аутентифицированного пользователя, эффективно обходя многофакторную аутентификацию, настроенную для учетной записи.

5. Подмена SIM-карты (SIM Swapping)

Атака SIM Swapping происходит, когда киберпреступник убеждает оператора связи переключить услуги на SIM-карту злоумышленника, фактически захватывая номер телефона жертвы. Атака позволяет атакующему получать запросы MFA на перехваченный номер телефона и предоставлять себе доступ.

6. Экспорт сгенерированных токенов

Еще одна тактика, которую могут использовать хакеры, — это компрометация серверной системы, которая генерирует и проверяет многофакторную аутентификацию. В ходе громкой атаки в 2011 году злоумышленникам удалось украсть «сиды» компании RSA для генерации токенов SecurID (брелоков, генерирующих код MFA). После того как начальные значения были скомпрометированы, хакеры смогли клонировать токены SecurID и даже создать свои собственные.

7. Компрометация конечной точки

Один из способов полностью избежать MFA — это компрометация конечной точки с помощью вредоносного ПО. Установка вредоносного ПО на устройство позволяет хакерам создавать теневые сессии после успешных входов в систему, красть и использовать сессионные куки или получать доступ к дополнительным ресурсам. Если система позволяет пользователям оставаться в системе после первоначальной аутентификации (создавая куки или токен сессии), хакеры могут сохранять свой доступ на значительный период.

Злоумышленники также могут эксплуатировать настройки восстановления и процедуры резервного копирования, которые могут быть менее защищенными, чем процессы MFA. Пользователи часто забывают пароли и регулярно сбрасывают его. Например, распространенным методом восстановления является отправка ссылки на дополнительный адрес электронной почты (или SMS со ссылкой). Если резервный адрес или телефон скомпрометированы, хакеры получают полный доступ к аккаунту цели.

8. Эксплуатация SSO

Технология единого входа (Single Sign-on, SSO) удобна для пользователя, когда ему нужно аутентифицироваться только один раз. Однако хакеры могут эксплуатировать SSO, используя единый вход для входа на сайт, требующий только скомпрометированного пароля, затем используя SSO для доступа к другим сайтам и приложениям, которые обычно требуют MFA.

Сложная форма такой атаки была использована во время взлома SolarWinds в 2020 году, когда хакеры эксплуатировали SAML (метод обмена аутентификацией между несколькими сторонами в SSO). Хакеры получили первоначальную точку опоры, затем получили доступ к сертификатам, используемым для подписи объектов SAML. С помощью сертификатов злоумышленники могли выдавать себя за любого пользователя, получая полный доступ ко всем ресурсам SSO.

9. Выявление технических недостатков

Как и любое программное обеспечение, технология MFA имеет уязвимости, которые могут быть эксплуатированы. Большинство решений MFA имели опубликованные эксплойты, которые временно открывали возможности для взлома.

Например, в кампании 0ktapus хакеры использовали CVE-2021-35464 для эксплуатации сервера приложений ForgeRock OpenAM, который обслуживает веб-приложения и решения удаленного доступа во многих организациях. Это подчеркивает важность регулярного обновления и установки исправлений на корпоративные устройства. Такие риски также должны быть учтены в политиках относительно теневого ИТ и BYOD (Bring Your Own Device).

Почему пароли все еще имеют значение?

Полный отказ от использования паролей вряд ли будет возможен для большинства организаций. И, как мы уже описали, MFA недостаточно, чтобы просто забыть о безопасности паролей. Часто компрометация аккаунта начинается со слабого или уже скомпрометированного пароля. Как только атакующий получает пароль, он может сосредоточиться на обходе MFA. Слабые пароли значительно увеличивают шансы киберпреступников в конечном итоге взломать аккаунты — и даже надежные пароли не обеспечивают защиту, если они уже были скомпрометированы.

Заключение

Многофакторная аутентификация является критически важным инструментом в арсенале защиты данных, но она не должна рассматриваться как единственное средство защиты. Как показывает практика, даже самые продвинутые системы безопасности можно обойти при наличии слабых паролей и других уязвимостей.

Поэтому важно поддерживать комплексный подход к безопасности, который включает в себя не только использование MFA, но и обучение пользователей, регулярное обновление, а также применение строгих политик надежных паролей. Важно помнить, что MFA является дополнительным слоем безопасности, а не панацеей, на которую нужно полностью полагаться.