Se consideró que la autenticación multifactor (MFA) llenaba un vacío crítico en la seguridad de la identidad. Esto significa que incluso si un atacante tiene las credenciales de la cuenta, no podrá iniciar sesión sin el segundo factor. Esta lógica era buena, pero el atacante se dio cuenta de que no necesitaba robar el segundo elemento, sólo necesitaba pasárselo al usuario.
Si los empleados se autentican con MFA basado en push, este ataque representa una amenaza real para las organizaciones actuales. Herramientas como Specops Secure Access están diseñadas específicamente para llenar ese vacío, pero antes de profundizar en las soluciones, vale la pena comprender cómo funciona esta técnica.
Cómo funcionan las bombas rápidas MFA
Este ataque requiere tres elementos clave para funcionar:
Credenciales de cuenta válidas (normalmente obtenidas a partir de un volcado de contraseñas comprometidas en la web oscura) Un portal de inicio de sesión que utiliza MFA basado en push (como una VPN, Microsoft 365, Okta o Duo) Una víctima que recibe una alerta cada vez que el atacante intenta iniciar sesión
El atacante activa repetidamente mensajes en un intento de engañar o agotar al objetivo para que apruebe la solicitud. En algunos casos, los atacantes intentan diseñar socialmente sus objetivos mediante una combinación de bombardeos instantáneos y llamadas en frío que se hacen pasar por departamentos de TI. El peligro es que estos métodos sólo necesitan funcionar una vez.
Si se aprueba el mensaje, el atacante inicia sesión como ese usuario. Los sistemas de seguridad normalmente no reciben alertas porque el inicio de sesión parece ser completamente legítimo.
incumplimiento de cisco
La violación de Cisco de 2022 es un ejemplo clave de cuán efectiva es esta técnica incluso para programas de seguridad maduros. Los atacantes asociados con el grupo de ransomware Yanluowang estaban comprometiendo las cuentas personales de Google de los empleados de Cisco y sincronizando las credenciales almacenadas en sus navegadores, incluidas las contraseñas VPN de Cisco de los empleados.
Desde allí, el atacante envió un mensaje de MFA al teléfono del empleado. Cuando eso no funcionó al principio, comenzaron a utilizar llamadas telefónicas de acoso haciéndose pasar por organizaciones de soporte confiables, hablando en varios acentos y, finalmente, convenciendo a los empleados para que aceptaran notificaciones automáticas.
Una vez aprobado, el atacante tendrá acceso a VPN como empleado. Luego inscribió su propio dispositivo en MFA para lograr persistencia y escaló a privilegios administrativos para llegar a los servidores Citrix y controladores de dominio, extrayendo aproximadamente 2,8 GB de datos antes de ser desalojado. El hecho de que este bombardeo instantáneo haya funcionado contra una empresa como Cisco, cuya postura de seguridad está lejos de ser débil, resalta cuán peligroso y efectivo se ha vuelto este ataque.
Por qué impulsar la MFA no elimina el riesgo
El problema con MFA basado en push es que a los usuarios se les pide que aprueben o rechacen el inicio de sesión y rara vez pueden continuar. No hay información clara sobre el origen de la solicitud, el dispositivo utilizado o si el intento de inicio de sesión fue iniciado por un usuario. Por sí solo, puede ser manejable. Pero cuando las indicaciones comienzan a llegar repetidamente, es fácil asumir que algo está fallando en lugar de reconocerlo como un ataque potencial.
Si a esto le sumamos una llamada telefónica en el momento oportuno de alguien que se hace pasar por soporte de TI, la situación se vuelve aún más difícil de evaluar. En este punto, el usuario no actúa descuidadamente, sino que utiliza las credenciales que el atacante ya tiene en respuesta a un escenario diseñado para parecer rutinario y legítimo.
Tres formas en que las organizaciones pueden prevenir los bombardeos instantáneos
1. Utilice factores MFA resistentes a la fatiga y al phishing
Las notificaciones push son la forma más débil y común de MFA. Los elementos resistentes al phishing, como las claves de seguridad FIDO2, los tokens de hardware como YubiKeys y los códigos de verificación de números en aplicaciones de autenticación, son más difíciles de explotar.
Specops Secure Access admite más de 15 proveedores de identidad y tiene estas opciones resistentes a la fatiga para el inicio de sesión de Windows, RDP y conexiones VPN, lo que permite a las organizaciones eliminar MFA de solo inserción para puntos de acceso de alto riesgo.
Acceso seguro a Specops
2. Bloquear contraseñas filtradas en la fuente
El bombardeo instantáneo sólo es posible si el atacante ya tiene una contraseña válida. Elimina el combustible de ataque al escanear continuamente Active Directory (AD) en busca de una base de datos activa de contraseñas comprometidas y forzar un reinicio si se encuentra una coincidencia. Confiar en la política de contraseñas predeterminada de AD no detectará contraseñas reutilizadas, incrementales o violadas. Si no está seguro de su situación actual, Specops Password Auditor proporciona un análisis gratuito de solo lectura de su AD que detecta vulnerabilidades como contraseñas comprometidas y cuentas de administrador inactivas.
Auditor de contraseñas de Specops
3. Agregue señales de riesgo a los inicios de sesión
Las políticas de acceso condicional que consideran la geografía, el estado del dispositivo y el tiempo de inicio de sesión pueden bloquear o fortalecer la autenticación antes de que se envíe un mensaje al teléfono del usuario. Esto reduce la dependencia únicamente del comportamiento del usuario, introduce un contexto en tiempo real y detiene los inicios de sesión sospechosos antes de que se conviertan en cuentas comprometidas.
El MFA sigue siendo importante
El bombardeo instantáneo del MFA no es una razón para alejarse del MFA, pero sí resalta dónde faltan algunos elementos. Si las solicitudes de autorización se activan repetidamente sin un contexto significativo, el control se vuelve más sensible de lo previsto.
Si la presión sigue siendo el segundo factor predeterminado, vale la pena reconsiderar esa decisión. Los métodos de coincidencia de números o resistentes al phishing fortalecen el método MFA en sí y al mismo tiempo limitan el riesgo de que un atacante posea el paso de autenticación inicial al escanear en busca de contraseñas comprometidas. Si desea mejorar la seguridad de su identidad con una MFA más sólida, hable con Specops.
Source link
