مایکروسافت: هکرها از این تاکتیک نگران کننده برای طفره رفتن از احراز هویت چند عاملی استفاده می کنند

مایکروسافت چندین روش کاهش را برای محافظت در برابر حملات احراز هویت چند عاملی مشخص کرده است که متأسفانه زندگی را برای کارکنان از راه دور شما دشوارتر می کند.

علاوه بر این، مایکروسافت هشدار می‌دهد که سرقت توکن خطرناک است، زیرا به مهارت‌های فنی بالایی نیاز ندارد، تشخیص آن دشوار است و از آنجایی که این تکنیک اخیراً افزایش یافته است، سازمان‌های کمی اقدامات کاهشی را انجام داده‌اند.

هنگام دسترسی به برنامه‌های تحت وب محافظت شده توسط Azure AD، کاربر باید یک توکن معتبر ارائه دهد که می‌تواند پس از ورود به Azure AD با استفاده از اعتبار خود آن را دریافت کند. سرپرستان می‌توانند خط‌مشی را طوری تنظیم کنند که از MFA بخواهد از طریق مرورگر وارد حساب کاربری شود. توکن صادر شده برای کاربر به برنامه وب ارائه می شود، که توکن را تأیید می کند و دسترسی را باز می کند.

اخیراً، تیم تشخیص و پاسخ مایکروسافت (DART) شاهد افزایش مهاجمانی بوده است که از سرقت توکن برای این منظور استفاده می کنند. مایکروسافت در یک پست وبلاگی می گوید.

اما با افزایش استفاده از MFA با رایج‌تر شدن حملات به گذرواژه‌ها، مایکروسافت شاهد افزایش مهاجمانی بود که از سرقت نشانه‌ها در تلاش برای دور زدن MFA استفاده می‌کردند.

اگر هم اعتبار و هم توکن به سرقت رفته باشد، مهاجم می تواند از آنها برای حملات متعدد استفاده کند. مایکروسافت به خطر افتادن ایمیل های تجاری، که بزرگترین عامل زیان مالی جرایم سایبری امروزه است، تاکید می کند.

مایکروسافت خاطرنشان می‌کند: «ما می‌دانیم که اگرچه ممکن است به سازمان‌ها توصیه شود که مکان، انطباق دستگاه و کنترل‌های طول عمر جلسه را برای همه برنامه‌ها اعمال کنند، اما ممکن است همیشه عملی نباشد».

منبع: https://www.zdnet.com/article/microsoft-hackers-are-using-this-concerning-tactic-to-dodge-multi-factor-authentication/#ftag=RSSbaffb68

سه سال پیش، حملات به احراز هویت چند عاملی (MFA) به قدری نادر بود که مایکروسافت آمار مناسبی از آنها نداشت، عمدتاً به این دلیل که تعداد کمی از سازمان‌ها MFA را فعال کرده بودند.

مایکروسافت برای مقابله با تهدید حملات دزدی توکن به MFA، کوتاه کردن طول عمر توکن و جلسات را توصیه می‌کند، اگرچه این کار هزینه‌ای برای کاربر دارد. کاهش دهنده ها عبارتند از:

“با به خطر انداختن و پخش مجدد یک توکن صادر شده برای هویتی که قبلاً احراز هویت چندعاملی را تکمیل کرده است، عامل تهدید اعتبار MFA را برآورده می‌کند و بر این اساس به منابع سازمانی دسترسی می‌یابد. این یک تاکتیک نگران‌کننده برای مدافعان است زیرا تخصص لازم برای مصالحه است. یک توکن بسیار پایین است، به سختی قابل شناسایی است و سازمان‌های کمی در طرح واکنش به حوادث خود، راهکارهای کاهش سرقت توکن را دارند.”

در این حملات، مهاجم یک توکن صادر شده برای شخصی که قبلاً MFA را تکمیل کرده است به خطر می‌اندازد و آن توکن را دوباره پخش می‌کند تا از دستگاه دیگری دسترسی پیدا کند. توکن‌ها برای پلتفرم‌های هویت OAuth 2.0، از جمله Azure Active Directory (AD)، مرکزی هستند که هدف آن ساده‌تر و سریع‌تر کردن احراز هویت برای کاربران است، اما به گونه‌ای که همچنان در برابر حملات رمز عبور مقاوم باشد.

کاربرانی که دارای امتیازات سطح بالا هستند، مانند ادمین دامنه جهانی، باید یک هویت منحصر به فرد ابری جداگانه داشته باشند. این به کاهش سطح حمله از درون محل به فضای ابری کمک می‌کند اگر مهاجمی سیستم‌های درون محل را به خطر بیاندازد. مایکروسافت گفت که این هویت ها نباید دارای یک صندوق پستی باشند.

مایکروسافت خاطرنشان می‌کند: “کاربرانی که به منابع شرکتی روی دستگاه‌های شخصی دسترسی دارند، به‌ویژه در معرض خطر هستند. دستگاه‌های شخصی اغلب کنترل‌های امنیتی ضعیف‌تری نسبت به دستگاه‌های مدیریت‌شده توسط شرکت دارند و کارکنان فناوری اطلاعات برای تعیین مصالحه به آن دستگاه‌ها دسترسی ندارند.” این خطر برای کارگران راه دور که از وسایل شخصی استفاده می کنند، بیشتر است.