مایکروسافت: هکرها از این تاکتیک نگران کننده برای طفره رفتن از احراز هویت چند عاملی استفاده می کنند


دست ها در حال تایپ کردن در رایانه با سایر وسایل الکترونیکی روی میز

مایکروسافت چندین روش کاهش را برای محافظت در برابر حملات احراز هویت چند عاملی مشخص کرده است که متأسفانه زندگی را برای کارکنان از راه دور شما دشوارتر می کند.

سه سال پیش، حملات به احراز هویت چند عاملی (MFA) به قدری نادر بود که مایکروسافت آمار مناسبی از آنها نداشت، عمدتاً به این دلیل که تعداد کمی از سازمان‌ها MFA را فعال کرده بودند.

اما با افزایش استفاده از MFA با رایج‌تر شدن حملات به گذرواژه‌ها، مایکروسافت شاهد افزایش مهاجمانی بود که از سرقت نشانه‌ها در تلاش برای دور زدن MFA استفاده می‌کردند.

در این حملات، مهاجم یک توکن صادر شده برای شخصی که قبلاً MFA را تکمیل کرده است به خطر می‌اندازد و آن توکن را دوباره پخش می‌کند تا از دستگاه دیگری دسترسی پیدا کند. توکن‌ها برای پلتفرم‌های هویت OAuth 2.0، از جمله Azure Active Directory (AD)، مرکزی هستند که هدف آن ساده‌تر و سریع‌تر کردن احراز هویت برای کاربران است، اما به گونه‌ای که همچنان در برابر حملات رمز عبور مقاوم باشد.

همچنین: مشاغل امنیت سایبری: پنج راه برای کمک به شما در ایجاد حرفه خود

علاوه بر این، مایکروسافت هشدار می‌دهد که سرقت توکن خطرناک است، زیرا به مهارت‌های فنی بالایی نیاز ندارد، تشخیص آن دشوار است و از آنجایی که این تکنیک اخیراً افزایش یافته است، سازمان‌های کمی اقدامات کاهشی را انجام داده‌اند.

اخیراً، تیم تشخیص و پاسخ مایکروسافت (DART) شاهد افزایش مهاجمانی بوده است که از سرقت توکن برای این منظور استفاده می کنند. مایکروسافت در یک پست وبلاگی می گوید.

“با به خطر انداختن و پخش مجدد یک توکن صادر شده برای هویتی که قبلاً احراز هویت چندعاملی را تکمیل کرده است، عامل تهدید اعتبار MFA را برآورده می‌کند و بر این اساس به منابع سازمانی دسترسی می‌یابد. این یک تاکتیک نگران‌کننده برای مدافعان است زیرا تخصص لازم برای مصالحه است. یک توکن بسیار پایین است، به سختی قابل شناسایی است و سازمان‌های کمی در طرح واکنش به حوادث خود، راهکارهای کاهش سرقت توکن را دارند.”

هنگام دسترسی به برنامه‌های تحت وب محافظت شده توسط Azure AD، کاربر باید یک توکن معتبر ارائه دهد که می‌تواند پس از ورود به Azure AD با استفاده از اعتبار خود آن را دریافت کند. سرپرستان می‌توانند خط‌مشی را طوری تنظیم کنند که از MFA بخواهد از طریق مرورگر وارد حساب کاربری شود. توکن صادر شده برای کاربر به برنامه وب ارائه می شود، که توکن را تأیید می کند و دسترسی را باز می کند.

مایکروسافت توضیح می‌دهد: «وقتی کاربر فیش می‌شود، زیرساخت‌های مخرب هم اعتبار کاربر و هم توکن را ضبط می‌کند.

اگر هم اعتبار و هم توکن به سرقت رفته باشد، مهاجم می تواند از آنها برای حملات متعدد استفاده کند. مایکروسافت به خطر افتادن ایمیل های تجاری، که بزرگترین عامل زیان مالی جرایم سایبری امروزه است، تاکید می کند.

همچنین: هزینه های فناوری در سال آینده افزایش خواهد یافت. و این مورد علاقه قدیمی هنوز در اولویت قرار دارد

مایکروسافت همچنین در مورد حملات “Pass-the-cookie” هشدار می دهد که در آن مهاجم یک دستگاه را به خطر می اندازد و کوکی های مرورگر را که پس از احراز هویت در Azure AD ایجاد می شوند از یک مرورگر استخراج می کند. مهاجم کوکی را به مرورگر دیگری در سیستم دیگری ارسال می کند تا بررسی های امنیتی را دور بزند.

مایکروسافت خاطرنشان می‌کند: “کاربرانی که به منابع شرکتی روی دستگاه‌های شخصی دسترسی دارند، به‌ویژه در معرض خطر هستند. دستگاه‌های شخصی اغلب کنترل‌های امنیتی ضعیف‌تری نسبت به دستگاه‌های مدیریت‌شده توسط شرکت دارند و کارکنان فناوری اطلاعات برای تعیین مصالحه به آن دستگاه‌ها دسترسی ندارند.” این خطر برای کارگران راه دور که از وسایل شخصی استفاده می کنند، بیشتر است.

مایکروسافت برای مقابله با تهدید حملات دزدی توکن به MFA، کوتاه کردن طول عمر توکن و جلسات را توصیه می‌کند، اگرچه این کار هزینه‌ای برای کاربر دارد. کاهش دهنده ها عبارتند از:

  • کاهش طول عمر جلسه تعداد دفعاتی که کاربر مجبور به احراز هویت مجدد می شود را افزایش می دهد.
  • کاهش زمان ماندگاری یک توکن، عوامل تهدید کننده را مجبور می‌کند تا دفعات تلاش‌های سرقت توکن را افزایش دهند
  • مایکروسافت توصیه می‌کند برای کاربرانی که از دستگاه‌های مدیریت نشده متصل می‌شوند، در Microsoft Defender برای برنامه‌های ابری، کنترل برنامه دسترسی مشروط را اجرا کنید.

مایکروسافت همچنین اجرای کلیدهای امنیتی FIDO2، Windows Hello for Business یا احراز هویت مبتنی بر گواهی را برای کاربران توصیه می کند.

کاربرانی که دارای امتیازات سطح بالا هستند، مانند ادمین دامنه جهانی، باید یک هویت منحصر به فرد ابری جداگانه داشته باشند. این به کاهش سطح حمله از درون محل به فضای ابری کمک می‌کند اگر مهاجمی سیستم‌های درون محل را به خطر بیاندازد. مایکروسافت گفت که این هویت ها نباید دارای یک صندوق پستی باشند.

مایکروسافت خاطرنشان می‌کند: «ما می‌دانیم که اگرچه ممکن است به سازمان‌ها توصیه شود که مکان، انطباق دستگاه و کنترل‌های طول عمر جلسه را برای همه برنامه‌ها اعمال کنند، اما ممکن است همیشه عملی نباشد».


منبع: https://www.zdnet.com/article/microsoft-hackers-are-using-this-concerning-tactic-to-dodge-multi-factor-authentication/#ftag=RSSbaffb68