Инструментът на Evilginx (все още) заобикаля MFA

Picture of e-security.bg
e-security.bg
Поверителност

Заобикалянето на многофакторната автентикация не е трудно, ако сте готови да проявите малко злоба.

Тази седмица изследователи на Sophos описаха подробно как Evilginx, злонамерена версия на широко използвания уеб сървър с отворен код NGINX, може да се използва при атаки тип „противник по средата“ (AitM) за кражба на данни и токени за удостоверяване. Може би по-важното е, че инструментът за хакерство може да преодолее защитата на MFA.

Evilginx съществува от много години като рамка за AitM за прихващане на потребителски идентификационни данни, но изследователите в областта на сигурността наскоро използваха инструмента за по-сложни атаки. Например миналата година изследователят по сигурността на Accenture Йехуда Смирнов разработи техника за преодоляване на Windows Hello for Business на Microsoft чрез понижаване на нивото на удостоверяване чрез атака с Evilginx.

Смирнов демонстрира техниката на Black Hat USA 2024, а Microsoft издаде поправка за предотвратяване на атаката. Изследователите на Sophos обаче твърдят, че Evilginx все още може да се използва за изчистване на пълномощията и заобикаляне на MFA.

Атаки на Evilginx срещу потребители на Microsoft

Матю Евъртс, старши анализатор в отдела за реагиране при инциденти на Sophos X-Ops, обясни в публикация в блога си, че Evilginx проксира уеб трафика към злонамерени домейни, които подменят легитимни сайтове и услуги като Office 365. Изследователският екип на Sophos е тествал Evilginx със злонамерени домейни и фишинг страници на тема Microsoft, за да примами потребителите.

Евъртс отбеляза, че примамките използват автентични формуляри и изображения от самия Microsoft, които се предават от компанията и чрез сървъра Evilginx. На потребителите се представя нещо, което изглежда като нормална страница за влизане в Microsoft 365, която събира потребителски имена и пароли.

„От задната страна, evilginx дава на нападателя възможности за конфигуриране на преживяването. При нашето тестване имитирахме потребителски акаунт, защитен с MFA … и бързо го заобиколихме“, пише той.

Evilginx може също така да събира сесийни бисквитки на потребителите, което дава възможност на изследователите да заобиколят MFA. Въоръжени със сесийната бисквитка, както и с допълнителни данни, като например IP адреса на потребителя, изследователите на Sophos могат да отидат в легитимния портал за влизане в Microsoft и да влязат като потребителя.

„Оттук нападателят има пълен достъп до акаунта в пощенската кутия на потребителя. Типичните действия могат да включват добавяне на правила за пощенската кутия“, пише Евертс. „Ако има достъп, участникът в заплахата може също така да нулира MFA устройствата, да промени паролите и да извърши редица други действия, за да си осигури допълнително постоянство в акаунта.“

Екипите по сигурността на предприятията могат да открият този вид злонамерена дейност, като прегледат дневниците за вписване и одит на Entra ID, които биха разкрили подозрителни връзки от непознати IP адреси, както и добавяне на ново удостоверяващо приложение към акаунта на потребителя.

Но в този момент мрежата вече е пробита.

Атаки на AitM в реалността

Според Чет Вишневски, директор на глобалното поле CISO в Sophos, компанията наблюдава скорошна Evilgnix атака срещу MSP, която ще бъде подробно описана в предстоящ доклад. „Наблюдаваме и ръст в използването на други инструменти за атака по средата като WikiKit, FlowerStorm, Tycoon2FA, Mambe2FA и RaccoonO365“, казва той.

За да се предотвратят атаките на Evilginx, Евертс от Sophos призовава организациите да се откажат от методите, базирани на токени или push-MFA, и да възприемат по-силни, устойчиви на фишинг опции, базирани на FIDO2, като passkeys. „Добрата новина е, че добрите варианти са налични в много форми – хардуерни ключове тип Yubikey, Apple Touch ID на модерен хардуер, Windows Hello за бизнеса, дори варианти, които включват iPhone и Android“, пише Евъртс.

Вишневски казва, че повечето престъпници  се опитват да заобиколят MFA, базирано на знания, или тези методи, които използват еднократни пароли, SMS кодове или push нотификации. Устойчивият на фишинг MFA обаче предотвратява прокси атаки като Evilginx, защото автентификаторът FIDO2 или passkey няма да приеме заявка за вход, която не идва от домейна, свързан с ключа.

„Комбинацията от FIDO2/ключове и политики за условен достъп допълнително укрепва този подход“, казва той. „Passkeys са надеждна защита срещу AiTM toolkits, като например Evilginx.“

#microsoft, # windows 10, # Windows 11, # бъгове, # зловреден код
DARKReading

Подобни

Proton предупреждава: „Не влизайте с Google“
19.05.2026
Proton
Microsoft променя Edge след критики за съхранение на пароли в паметта
18.05.2026
thedigitalartist-internet-explorer-2815927_640
Великобритания връща спорната схема за Digital ID
14.05.2026
aimeev83-bokeh-313993_640
General Motors плаща рекордна глоба за незаконно събиране и продажба на данни
12.05.2026
ai-generated-8136171_1280
Venmo променя настройките си за поверителност
11.05.2026
elisariva-social-1834015_640
Google променя формулировка за AI в Chrome
11.05.2026
chrome

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy