Заобикалянето на многофакторната автентикация не е трудно, ако сте готови да проявите малко злоба.
Тази седмица изследователи на Sophos описаха подробно как Evilginx, злонамерена версия на широко използвания уеб сървър с отворен код NGINX, може да се използва при атаки тип „противник по средата“ (AitM) за кражба на данни и токени за удостоверяване. Може би по-важното е, че инструментът за хакерство може да преодолее защитата на MFA.
Evilginx съществува от много години като рамка за AitM за прихващане на потребителски идентификационни данни, но изследователите в областта на сигурността наскоро използваха инструмента за по-сложни атаки. Например миналата година изследователят по сигурността на Accenture Йехуда Смирнов разработи техника за преодоляване на Windows Hello for Business на Microsoft чрез понижаване на нивото на удостоверяване чрез атака с Evilginx.
Смирнов демонстрира техниката на Black Hat USA 2024, а Microsoft издаде поправка за предотвратяване на атаката. Изследователите на Sophos обаче твърдят, че Evilginx все още може да се използва за изчистване на пълномощията и заобикаляне на MFA.
Матю Евъртс, старши анализатор в отдела за реагиране при инциденти на Sophos X-Ops, обясни в публикация в блога си, че Evilginx проксира уеб трафика към злонамерени домейни, които подменят легитимни сайтове и услуги като Office 365. Изследователският екип на Sophos е тествал Evilginx със злонамерени домейни и фишинг страници на тема Microsoft, за да примами потребителите.
Евъртс отбеляза, че примамките използват автентични формуляри и изображения от самия Microsoft, които се предават от компанията и чрез сървъра Evilginx. На потребителите се представя нещо, което изглежда като нормална страница за влизане в Microsoft 365, която събира потребителски имена и пароли.
„От задната страна, evilginx дава на нападателя възможности за конфигуриране на преживяването. При нашето тестване имитирахме потребителски акаунт, защитен с MFA … и бързо го заобиколихме“, пише той.
Evilginx може също така да събира сесийни бисквитки на потребителите, което дава възможност на изследователите да заобиколят MFA. Въоръжени със сесийната бисквитка, както и с допълнителни данни, като например IP адреса на потребителя, изследователите на Sophos могат да отидат в легитимния портал за влизане в Microsoft и да влязат като потребителя.
„Оттук нападателят има пълен достъп до акаунта в пощенската кутия на потребителя. Типичните действия могат да включват добавяне на правила за пощенската кутия“, пише Евертс. „Ако има достъп, участникът в заплахата може също така да нулира MFA устройствата, да промени паролите и да извърши редица други действия, за да си осигури допълнително постоянство в акаунта.“
Екипите по сигурността на предприятията могат да открият този вид злонамерена дейност, като прегледат дневниците за вписване и одит на Entra ID, които биха разкрили подозрителни връзки от непознати IP адреси, както и добавяне на ново удостоверяващо приложение към акаунта на потребителя.
Но в този момент мрежата вече е пробита.
Според Чет Вишневски, директор на глобалното поле CISO в Sophos, компанията наблюдава скорошна Evilgnix атака срещу MSP, която ще бъде подробно описана в предстоящ доклад. „Наблюдаваме и ръст в използването на други инструменти за атака по средата като WikiKit, FlowerStorm, Tycoon2FA, Mambe2FA и RaccoonO365“, казва той.
За да се предотвратят атаките на Evilginx, Евертс от Sophos призовава организациите да се откажат от методите, базирани на токени или push-MFA, и да възприемат по-силни, устойчиви на фишинг опции, базирани на FIDO2, като passkeys. „Добрата новина е, че добрите варианти са налични в много форми – хардуерни ключове тип Yubikey, Apple Touch ID на модерен хардуер, Windows Hello за бизнеса, дори варианти, които включват iPhone и Android“, пише Евъртс.
Вишневски казва, че повечето престъпници се опитват да заобиколят MFA, базирано на знания, или тези методи, които използват еднократни пароли, SMS кодове или push нотификации. Устойчивият на фишинг MFA обаче предотвратява прокси атаки като Evilginx, защото автентификаторът FIDO2 или passkey няма да приеме заявка за вход, която не идва от домейна, свързан с ключа.
„Комбинацията от FIDO2/ключове и политики за условен достъп допълнително укрепва този подход“, казва той. „Passkeys са надеждна защита срещу AiTM toolkits, като например Evilginx.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
