Инструментът на Evilginx (все още) заобикаля MFA

Picture of e-security.bg
e-security.bg
Поверителност

Заобикалянето на многофакторната автентикация не е трудно, ако сте готови да проявите малко злоба.

Тази седмица изследователи на Sophos описаха подробно как Evilginx, злонамерена версия на широко използвания уеб сървър с отворен код NGINX, може да се използва при атаки тип „противник по средата“ (AitM) за кражба на данни и токени за удостоверяване. Може би по-важното е, че инструментът за хакерство може да преодолее защитата на MFA.

Evilginx съществува от много години като рамка за AitM за прихващане на потребителски идентификационни данни, но изследователите в областта на сигурността наскоро използваха инструмента за по-сложни атаки. Например миналата година изследователят по сигурността на Accenture Йехуда Смирнов разработи техника за преодоляване на Windows Hello for Business на Microsoft чрез понижаване на нивото на удостоверяване чрез атака с Evilginx.

Смирнов демонстрира техниката на Black Hat USA 2024, а Microsoft издаде поправка за предотвратяване на атаката. Изследователите на Sophos обаче твърдят, че Evilginx все още може да се използва за изчистване на пълномощията и заобикаляне на MFA.

Атаки на Evilginx срещу потребители на Microsoft

Матю Евъртс, старши анализатор в отдела за реагиране при инциденти на Sophos X-Ops, обясни в публикация в блога си, че Evilginx проксира уеб трафика към злонамерени домейни, които подменят легитимни сайтове и услуги като Office 365. Изследователският екип на Sophos е тествал Evilginx със злонамерени домейни и фишинг страници на тема Microsoft, за да примами потребителите.

Евъртс отбеляза, че примамките използват автентични формуляри и изображения от самия Microsoft, които се предават от компанията и чрез сървъра Evilginx. На потребителите се представя нещо, което изглежда като нормална страница за влизане в Microsoft 365, която събира потребителски имена и пароли.

„От задната страна, evilginx дава на нападателя възможности за конфигуриране на преживяването. При нашето тестване имитирахме потребителски акаунт, защитен с MFA … и бързо го заобиколихме“, пише той.

Evilginx може също така да събира сесийни бисквитки на потребителите, което дава възможност на изследователите да заобиколят MFA. Въоръжени със сесийната бисквитка, както и с допълнителни данни, като например IP адреса на потребителя, изследователите на Sophos могат да отидат в легитимния портал за влизане в Microsoft и да влязат като потребителя.

„Оттук нападателят има пълен достъп до акаунта в пощенската кутия на потребителя. Типичните действия могат да включват добавяне на правила за пощенската кутия“, пише Евертс. „Ако има достъп, участникът в заплахата може също така да нулира MFA устройствата, да промени паролите и да извърши редица други действия, за да си осигури допълнително постоянство в акаунта.“

Екипите по сигурността на предприятията могат да открият този вид злонамерена дейност, като прегледат дневниците за вписване и одит на Entra ID, които биха разкрили подозрителни връзки от непознати IP адреси, както и добавяне на ново удостоверяващо приложение към акаунта на потребителя.

Но в този момент мрежата вече е пробита.

Атаки на AitM в реалността

Според Чет Вишневски, директор на глобалното поле CISO в Sophos, компанията наблюдава скорошна Evilgnix атака срещу MSP, която ще бъде подробно описана в предстоящ доклад. „Наблюдаваме и ръст в използването на други инструменти за атака по средата като WikiKit, FlowerStorm, Tycoon2FA, Mambe2FA и RaccoonO365“, казва той.

За да се предотвратят атаките на Evilginx, Евертс от Sophos призовава организациите да се откажат от методите, базирани на токени или push-MFA, и да възприемат по-силни, устойчиви на фишинг опции, базирани на FIDO2, като passkeys. „Добрата новина е, че добрите варианти са налични в много форми – хардуерни ключове тип Yubikey, Apple Touch ID на модерен хардуер, Windows Hello за бизнеса, дори варианти, които включват iPhone и Android“, пише Евъртс.

Вишневски казва, че повечето престъпници  се опитват да заобиколят MFA, базирано на знания, или тези методи, които използват еднократни пароли, SMS кодове или push нотификации. Устойчивият на фишинг MFA обаче предотвратява прокси атаки като Evilginx, защото автентификаторът FIDO2 или passkey няма да приеме заявка за вход, която не идва от домейна, свързан с ключа.

„Комбинацията от FIDO2/ключове и политики за условен достъп допълнително укрепва този подход“, казва той. „Passkeys са надеждна защита срещу AiTM toolkits, като например Evilginx.“

#microsoft, # windows 10, # Windows 11, # бъгове, # зловреден код
DARKReading

Подобни

800 служебни имейл пароли на унгарски служители са открити в изтичания
13.04.2026
Hybrid-Warfare
PQC - стратегическа необходимост за индустриалните системи
13.04.2026
post-quantum-cryptpgraphy-tuta-padlock
Signal не е непробиваем
11.04.2026
Signal-Logo-2014
Делото срещу Telenor
10.04.2026
telenor
Cлужител на Meta източвал лични снимки на потребители
9.04.2026
meta
Краят на Samsung Messages
8.04.2026
Google-Messages

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.