A autenticação multifator (MFA) continua a incorporar o melhor e o pior da prática de segurança de TI empresarial. Como Roger Grimes escreveu neste artigo sobre hacks de dois fatores, três anos atrás, quando o MFA é bem feito, pode ser eficaz, mas quando os gerentes de TI tomam atalhos, pode ser um desastre. E, embora mais empresas estejam usando mais métodos de MFA para proteger os logins de usuários, isso ainda está longe de ser universal. De fato, de acordo com uma pesquisa conduzida pela Microsoft no ano passado, 99,9% das contas comprometidas não usaram MFA em tudo e apenas 11% das contas corporativas são protegidas por algum método de MFA.

A pandemia foi boa e ruim para a absorção de MFA. Ao desenraizar os padrões de computação normais de muitos usuários de negócios, bloqueios e trabalho remoto forneceram uma oportunidade para aumentar as implantações de MFA - ao mesmo tempo que fornecia novas iscas de phishing para hackers.

De acordo com pesquisas feitas por Garrett Bekker, analista de pesquisa sênior da 451 Research da SP Global Market Intelligence, houve um salto nas empresas que implantam MFA - de cerca da metade na pesquisa do ano passado para 61% na pesquisa deste ano - “principalmente porque tantos mais pessoas estavam trabalhando remotamente. Ainda assim, a maioria das empresas limitou o uso de MFA ”, diz ele. “Mas se tornou sua primeira prioridade daqui para frente, ainda mais do que VPNs.”

No último Relatório de Investigações de Violação de Dados da Verizon, Bernard Wilson, gerente de resposta à intrusão de rede do Serviço Secreto dos EUA, disse: “As organizações que negligenciaram a implementação do MFA, junto com as redes privadas virtuais, representaram uma porcentagem significativa de vítimas visadas durante a pandemia

5 métodos básicos de ataque MFA

Ataques man-in-the-middle baseados em SMS . O maior problema com o MFA tem a ver com sua implementação mais comum: o uso de senhas únicas de SMS.

A fraqueza tem a ver com a facilidade com que os hackers podem comprometer os smartphones dos usuários e atribuir o número de telefone temporariamente a um telefone sob seu controle. Uma maneira de explorar isso foi ilustrada com este Tweet combinando um fob de hardware RSA SecurID único com uma webcam pública. Embora esse possa ser um caso extremo, os comprometimentos do SMS continuam a manchar a utilidade geral dos logins do MFA.

Existem várias maneiras de realizar esse ataque. Uma é subornar ou convencer um agente de atendimento ao cliente de celular a reatribuir um telefone. Outro método foi levado à frente e ao centro pelo próprio repórter de Vice, que usou um serviço comercial para obter acesso à sua conta de celular. Ao pagar pelo serviço $ 16, ele conseguiu redirecionar todas as suas mensagens SMS, ilustrando como seria fácil comprometer suas contas.

Ataques à cadeia de abastecimento. O mais infame ataque à cadeia de suprimentos de software na memória recente foi o ataque SolarWinds , em que vários componentes do código foram infectados e as empresas-alvo baixaram essas peças sem saber que haviam sido comprometidas. Existem várias maneiras de evitar esses ataques, incluindo a verificação do código-fonte em tempo de execução.

E, como Kasey Panetta, do Gartner, escreveu em uma postagem no blog de janeiro de 2021: “Lembre-se de que o ataque da SolarWinds foi descoberto por um operador de segurança alerta que se perguntou por que um funcionário queria um segundo telefone registrado para autenticação multifator. Isso implicaria que o invasor pretendia alavancar a identidade e, especificamente, o MFA como um vetor de ataque ”.

Esses ataques continuam a ser um problema, com um deles descoberto em abril por Codecov para sua ferramenta Bash Uploader. As credenciais de autenticação foram modificadas pelo hacker, graças à segurança de imagem frouxa do Docker. A ferramenta tinha variáveis ​​de ambiente modificadas inseridas no código e uma forma de rastrear isso era rastrear os endereços IP de destino dos servidores de comando e controle.

Ignorar o fluxo de trabalho de autenticação MFA comprometido . Outra lacuna do MFA é este exemplo de vulnerabilidade de negação de serviço no módulo MFA no Liferay DXP v7.3 . O bug encontrado recentemente permite que qualquer usuário registrado se autentique, modificando as senhas de uso único dos usuários, resultando assim no bloqueio do usuário visado. Desde então, foi corrigido.

Ataques pass-the-cookie. Este é outro método de ataque que usa cookies de navegador e sites que armazenam detalhes de autenticação no cookie . Originalmente, isso foi feito para conveniência do usuário, para que os usuários possam permanecer conectados a seus aplicativos. Se um hacker conseguir extrair esses dados, ele poderá assumir o controle de sua conta.

Falsificações do lado do servidor

Talvez a maior façanha da história recente, embora não seja exclusivamente um problema de MFA, foi apelidada de Hafnium , que usa uma série de ataques, incluindo falsificação do lado do servidor e bug de gravação de arquivo arbitrário para anular completamente a autenticação com servidores Microsoft Exchange. O ataque envolve quatro falhas de dia zero no Exchange ( aqui estão alguns dos detalhes ). A Microsoft lançou uma série de patches.

Obtendo a autenticação de dois fatores correta

Essas são apenas algumas das façanhas mais notáveis. As implicações são que o MFA precisa de alguns cuidados para que seja feito de maneira adequada e segura. “MFA ruim é como óculos de sol baratos”, diz Bekker do 451, com o que ele quer dizer que MFA ruim não oferece muito em termos de proteção cibernética. “Ainda assim, o maior problema por que ele não é usado com mais frequência pelas empresas é a experiência do usuário ruim.”

Ele aponta outro problema, em que “MFA ainda é uma escolha binária, como um segurança em uma boate: uma vez dentro de uma rede corporativa, você pode fazer o que quiser e ninguém sabe realmente o que você está fazendo. Para ser eficaz, o MFA deve ser combinado com confiança zero e tecnologias de autenticação contínua. ” Vários fornecedores agora combinam MFA e produtos de autenticação adaptável, mas sua implementação está longe de ser simples.

A opção de recuperação de conta merece uma discussão mais aprofundada. Muitas empresas têm proteção MFA sólida para logins de contas normais, mas se um usuário esquecer sua senha, o processo de recuperação começa enviando uma senha de SMS. É assim que os hackers podem entrar na sua rede.

Gerhard Giese, da Akamai, aponta isso em uma postagem de blog do ano passado, quando fala sobre como o MFA nem sempre evita o enchimento de credenciais . Ele diz que os gerentes de TI precisam “reexaminar seus fluxos de trabalho de autenticação e telas de login para garantir que um invasor não descubra credenciais válidas ao interrogar a resposta do servidor web e implementar uma solução de gerenciamento de bot para garantir que você não esteja facilitando as coisas para os malfeitores rapazes."

No início deste ano, o US CERT emitiu um alerta sobre possíveis pontos fracos do MFA, incluindo phishing e tentativas de login de força bruta . Eles recomendaram uma variedade de técnicas, incluindo a aplicação de MFA em todas as atividades de autenticação, incluindo recuperação de conta e melhor segurança em relação ao acesso privilegiado.

A tecnologia MFA deve fazer parte da infraestrutura crítica da segurança corporativa. Ataques recentes, bem como a insistência de especialistas do governo e do setor privado, devem fornecer mais ímpeto para implementações inteligentes.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.