image

Mandiant: aanvallers omzeilen MFA via herhaaldelijke pushnotificaties

vrijdag 10 december 2021, 11:33 door Redactie, 11 reacties

Onderzoekers hebben aanvallen waargenomen waarbij aanvallers multifactorauthenticatie (MFA) weten te omzeilen door slachtoffers met pushnotificaties te bestoken totdat ze die accepteren, waarna er toegang tot het account wordt verkregen. Dat stelt securitybedrijf Mandiant in een analyse van een aanvalsgroep, die volgens de onderzoekers mogelijk van Russische origine is.

Bij multifactorauthenticatie moet de gebruiker naast een gebruikersnaam en wachtwoord nog één of meerdere andere factoren opgeven om toegang tot zijn account te krijgen. Het kan dan gaan om een code die via sms wordt verkregen, een via een app gegenereerde code of een pushnotificatie die op de telefoon moet worden bevestigd. Zelfs wanneer een aanvaller het wachtwoord van de gebruiker heeft moet hij ook de beschikking over de telefoon hebben om op het account in te kunnen loggen.

Bij de aanvallen die Mandiant waarnam hadden de aanvallers de inloggegevens van hun slachtoffers verkregen. De accounts waren echter door middel van MFA beveiligd. Wanneer de aanvallers probeerden in te loggen op het account kreeg het slachtoffer een pushnotificatie te zien met het verzoek om de inlogpoging goed te keuren. Volgens Mandiant bleven de aanvallers herhaaldelijk inloggen totdat de gebruiker de pushnotificatie accepteerde, waardoor de aanvaller toegang tot het account kreeg.

In de meeste gevallen probeerden de aanvallers, nadat ze toegang hadden gekregen, data te stelen die relevant voor de Russische belangen is, aldus Mandiant. In sommige gevallen werd de data gebruikt om op andere manieren toegang tot de omgeving van het slachtoffer te krijgen. Volgens het securitybedrijf waren de aanvallen tegen bedrijven en overheden wereldwijd gericht, maar verdere details over slachtoffers worden niet gegeven.

Reacties (11)
10-12-2021, 11:46 door Erik van Straten
Ook Proofpoint meldde deze week MFA-bypass pogingen, uit https://www.proofpoint.com/us/blog/threat-insight/university-targeted-credential-phishing-campaigns-use-covid-19-omicron-themes:
In some campaigns, threat actors attempted to steal multifactor authentication (MFA) credentials, spoofing MFA providers such as Duo. Stealing MFA tokens enables the attacker to bypass the second layer of security designed to keep out threat actors who already know a victim’s username and password.
.

Bron: https://www.bleepingcomputer.com/news/security/us-universities-targeted-by-office-365-phishing-attacks/
10-12-2021, 12:52 door Anoniem
Ik denk - gezien de ontwikkelingen in Rusland op dit moment - dat iedereen die bij de overheid werkt nu op zijn hoede moet zijn voor digitale inbraak. Dus mensen van de overheid, politie en andere diensten, als jullie dit lezen, pas op a.u.b. en houdt u scherp dat er geen malafide inlogpogingen plaatsvinden!
10-12-2021, 14:52 door Anoniem
Door Anoniem: Ik denk - gezien de ontwikkelingen in Rusland op dit moment - dat iedereen die bij de overheid werkt nu op zijn hoede moet zijn voor digitale inbraak. Dus mensen van de overheid, politie en andere diensten, als jullie dit lezen, pas op a.u.b. en houdt u scherp dat er geen malafide inlogpogingen plaatsvinden!

Je hebt een punt maar de ambtenaren zitten al half aan het kerstdiner
10-12-2021, 15:07 door Anoniem
Onderzoekers hebben aanvallen waargenomen waarbij aanvallers multifactorauthenticatie (MFA) weten te omzeilen door slachtoffers met pushnotificaties te bestoken totdat ze die accepteren, waarna er toegang tot het account wordt verkregen.
Heel recent reageerde ik onder een post die ging over onveilige authenticatie via SMS (ik meen op deze site). Daarbij was mijn reactie al: "kwestie van tijd en dan vinden aanvallers ook manieren om de authenticatie apps te omzeilen". Dit lijkt de eerste te zijn....
10-12-2021, 17:15 door Anoniem
Ze omzeilen de MFA niet. Ze veroorzaken een overload aan meldingen tot dat iemand zo "slim" is om op goedkeuren te drukken
10-12-2021, 21:06 door Anoniem
Door Anoniem: Ze omzeilen de MFA niet. Ze veroorzaken een overload aan meldingen tot dat iemand zo "slim" is om op goedkeuren te drukken
Ze omzeilen MFA niet in technische zin, wel in functionele zin. Vergelijk het met inbreken op een account door een gelekt wachtwoord. Het maakt feitelijk niet zoveel uit of men de authenticatie (wachtwoord) technisch kan omzeilen of dat men op een andere manier het wachtwoord kan ontfutselen. Uiteindelijk breken ze daarmee door de beveiliging. Zo zie ik deze case met MFA ook.
11-12-2021, 07:42 door Anoniem
tja MFA is dus niet een panacee... goh... zeker niet als er exchange exploits galore zijn...
11-12-2021, 09:47 door Anoniem
Ik zie dit als verkeerd geïmplementeerde MFA. Het komt erop neer dat als de andere factor (wat je weet, usernaam en wachtwoord) gecompromitteerd is effectief een heel zwakke eenfactorauthenticatie overblijft, een die al met een simpel pesterijtje gecompromitteerd kan worden. Als niet met een druk op de knop op de smartphone de login of transactie kan worden bevestigd maar als dat moet via een sessie die de gebruiker zelf heeft lopen, via een code die overgenomen moet worden in die sessie, dan moeten aanvallers al heel wat meer moeite doen. Dit is een veel te zwakke opzet.
11-12-2021, 23:14 door waterlelie - Bijgewerkt: 11-12-2021, 23:15
Bij de aanvallen die Mandiant waarnam hadden de aanvallers de inloggegevens van hun slachtoffers verkregen. De accounts waren echter door middel van MFA beveiligd. Wanneer de aanvallers probeerden in te loggen op het account kreeg het slachtoffer een pushnotificatie te zien met het verzoek om de inlogpoging goed te keuren. Volgens Mandiant bleven de aanvallers herhaaldelijk inloggen totdat de gebruiker de pushnotificatie accepteerde, waardoor de aanvaller toegang tot het account kreeg.

Hier wordt niets omzeilt, de gebruiker wordt gewoon geïrriteerd van de push notificaties, dus klikt die er maar op, dan houd het immers wel op, met als gevolg dat ze daarmee dus de inlog procedure compleet maken.
13-12-2021, 09:07 door Anoniem
Door Anoniem:
Door Anoniem: Ik denk - gezien de ontwikkelingen in Rusland op dit moment - dat iedereen die bij de overheid werkt nu op zijn hoede moet zijn voor digitale inbraak. Dus mensen van de overheid, politie en andere diensten, als jullie dit lezen, pas op a.u.b. en houdt u scherp dat er geen malafide inlogpogingen plaatsvinden!

Je hebt een punt maar de ambtenaren zitten al half aan het kerstdiner
Vanwaar deze sneer? Wat voegt zulke stemmingmakerij toe?
13-12-2021, 09:08 door Anoniem
Door waterlelie:
Bij de aanvallen die Mandiant waarnam hadden de aanvallers de inloggegevens van hun slachtoffers verkregen. De accounts waren echter door middel van MFA beveiligd. Wanneer de aanvallers probeerden in te loggen op het account kreeg het slachtoffer een pushnotificatie te zien met het verzoek om de inlogpoging goed te keuren. Volgens Mandiant bleven de aanvallers herhaaldelijk inloggen totdat de gebruiker de pushnotificatie accepteerde, waardoor de aanvaller toegang tot het account kreeg.

Hier wordt niets omzeilt, de gebruiker wordt gewoon geïrriteerd van de push notificaties, dus klikt die er maar op, dan houd het immers wel op, met als gevolg dat ze daarmee dus de inlog procedure compleet maken.

Precies! Elke security oplossing heeft zwakke schakels en bij toegangsbeheer is dat vaak de gebruiker. Het moet gebruikers duidelijk zijn dat als ze onverwacht dit soort SMSjes, mailtjes of wat dan ook krijgen, hier niet meteen op moeten reageren. Net zoals je na herhaaldelijk vragen nog steeds niet je PIN code af moet geven. Ik heb nog nergens een "fool" of "stupid" proof oplossing gezien.

Zoals ik 20 jaar geleden al heb begrepen: "there is no cure for stupidity".
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.