dezembro 13, 2022

[Segurança] Novo ataque do momento: Fadiga de MFA

A recente invasão da Uber trouxe à tona uma tática de ataque contra usuários finais que tem se popularizado, o chamado...


MFA Fatigue

A "fadiga de MFA" (ou, como é conhecido em inglês, "MFA Fatigue"). é um ataque de engenharia social criado para burlar os controles de segunda autenticação (ou múltiplos fatores de autenticação) que estão cada vez mais comuns nas empresas. Nesse ataque, o criminoso já sabe o usuário e senha, mas tem que passar pelo controle do MFA (qualquer que seja a ferramenta de Multi-Factor Authentication usada na empresa). Então, o atacante tenta fazer login repetidamente com a credencial comprometida, gerando um grande volume de solicitações de autenticação por MFA - que é enviado para o dispositivo móvel do proprietário da conta. Isso é muito fácil de fazer se a vítimas possui o MFA com o app Authenticator da Microsoft e a autenticação é feita via push no app. O objetivo é enviar um volume grande de solicitações de autenticação até que o usuário final acabe clicando na opção de aprovar o login fraudulento ou, como no caso da Uber, seja contatado pelo fraudador fazendo se passar pelo suporte técnico da empresa, afirmando que há um problema na plataforma.

Esse vídeo curto, da empresa Reformed IT e compartilhado pelo portal CISO Advisor e pela Bleeping Computer ilustra como o ataque funciona:

O caso da Uber foi emblemático... Em Setembro deste ano a Uber descobriu que sua rede de computadores foi invadida, levando a empresa a colocar vários de seus sistemas internos de comunicação e engenharia offline enquanto investigava a extensão do ciber ataque.

A pessoa que assumiu publicamente a responsabilidade pelo ataque, possivelmente um integrante do grupo Lapsus$, enviou imagens de e-mail, armazenamento em nuvem e repositórios de código da empresa.

Segundo relatos, a invasão aconteceu graças ao envio de uma mensagem de texto para um funcionário do Uber alegando ser um profissional de tecnologia da informação corporativa. Assim, o trabalhador foi persuadido a entregar uma senha que permitiu ao atacante ter acesso aos sistemas da Uber. Após comprometer a conta o funcionário, o hacker utilizou o aplicativo de mensagens Slack para enviar uma mensagem aos funcionários da empresa anunciando a invasão e acessou a conta da empresa no portal da HackerOne para anunciar publicamente a invasão, nos relatórios de vulnerabilidades existentes.

Detalhe: o atacante fez o sistema gerar varias solicitações de MFA durante uma hora, até encher a paciência do usuário, e então ligou para ele se identificando como membro do time de IT e avisando que ele precisaria aceitar a solicitação de autenticação.

Em um ataque recente a Dropbox, mais uma vez o segundo fator de autenticação foi comprometido. O atacante conseguiu acessar os repositórios depois de enviar e-mails de Phishing aos funcionários do DropBox, supostamente originários da plataforma de desenvolvimento de software CircleCl. Os e-mails direcionavam os desenvolvedores para uma página de login maliciosa que imitava uma página de login legítima do CircleCl. A página solicitava as credenciais do GitHub, incluindo a senha única gerada usando uma chave de autenticação por hardware.

Para saber mais:


Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.