Кампания за фишинг се възползва от услугата Microsoft Active Directory Federation Services (ADFS), за да заобиколи многофакторното удостоверяване (MFA) и да завладее потребителски акаунти, което позволява на заплахите да извършват по-нататъшни злонамерени действия в мрежи, които зависят от услугата за удостоверяване на еднократна регистрация (SSO).
Изследователи от Abnormal Security откриха кампанията, която е насочена към около 150 организации – предимно в образователния сектор – които разчитат на ADFS за удостоверяване в множество локални и облачни системи.
Кампанията използва подправени имейли, които насочват хората към фалшиви страници за влизане в Microsoft ADFS, които са персонализирани за конкретната MFA настройка, използвана от целта. След като жертвата въведе идентификационни данни и код за MFA, нападателите поемат акаунтите и могат да преминат към други услуги чрез функцията SSO. Изглежда, че те извършват редица дейности след компрометирането, включително разузнаване, създаване на правила за филтриране на пощата с цел прихващане на комуникации и страничен фишинг, насочен към други потребители в организацията.
Насочването към наследената SSO функция в ADFS, функция, която е „удобна за корпоративните потребители“, може да донесе големи дивиденти, отбелязва Джим Рут, главен директор по доверието във фирмата за сигурност Saviynt. Първоначално функцията е била предназначена за използване зад защитна стена, но сега е по-изложена на риск, защото все по-често се прилага в облачни услуги, въпреки че никога не е била проектирана за това, отбелязва той.
Нападателите в кампанията подменят страниците за влизане в ADFS на Microsoft, за да събират потребителските данни и да заобикалят MFA по начин, който според един дългогодишен специалист по сигурността не е виждал досега.
„За първи път чета за фалшиви страници за вход в ADFS“, отбелязва Роджър Граймс, евангелист по защита, базирана на данни, във фирмата за сигурност KnowBe4.
Целите на кампанията получават имейли, които са проектирани да изглеждат като известия от ИТ help desk-a
на организацията – широко използван фишинг трик – със съобщение, което информира получателя за спешна или важна актуализация, която изисква незабавното му внимание. Съобщението ги приканва да използват предоставената връзка, за да започнат исканото действие, като например да приемат ревизирана политика или да завършат обновяване на системата.
Все пак имейлите включват различни характеристики, които ги правят да изглеждат убедителни, включително подправени адреси на подателя, които изглеждат така, сякаш произхождат от доверени структури, измамни страници за вход, които имитират легитимна марка, и злонамерени връзки, които имитират структурата на легитимните връзки на ADFS, отбелязват изследователите.
„В тази кампания нападателите използват надеждната среда и познатия дизайн на страниците за влизане в ADFS, за да подмамят потребителите да предоставят своите идентификационни данни и данни за удостоверяване с втори фактор“, се казва в доклада.
Въпреки че кампанията е насочена към различни индустрии, организациите, които понасят основната тежест на атаките – повече от 50% – са училища, университети и други образователни институции, твърдят изследователите. „Това подчертава предпочитанията на нападателите към среди с голям брой потребители, наследени системи, по-малък брой служители по сигурността и често по-слабо развити защити за киберсигурност“, се казва в доклада.
Други сектори, към които е насочена кампанията и които също отразяват това предпочитание, включват, по реда на честотата на атаките: здравеопазване, правителство, технологии, транспорт, автомобилостроене и производство.
Всъщност, въпреки че Microsoft и Abnormal Security препоръчват на организациите да преминат към нейната модерна платформа за идентификация, Entra, за удостоверяване, много организации с по-малко усъвършенствани ИТ отдели все още зависят от ADFS и по този начин остават уязвими, отбелязват изследователите.
„Тази зависимост е особено разпространена в сектори с по-бавни цикли на приемане на технологиите или наследени инфраструктурни зависимости – което ги прави основни цели за събиране на удостоверения и превземане на акаунти“, се казва в доклада.
Въпреки това, дори ако дадена организация все още използва ADFS, тя може да предприеме стъпки за защита, казва Граймс. Той например препоръчва на всички потребители да използват „устойчив на фишинг MFA“, когато могат.
Други смекчаващи мерки, препоръчани от изследователите, включват обучение на потребителите за съвременните техники за фишинг и психологически тактики на атакуващите, както и използване на усъвършенствани технологии за филтриране на електронна поща, откриване на аномалии и мониторинг на поведението за идентифициране и смекчаване на фишинг атаките и ранно откриване на компрометирани акаунти.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
