image

Uber: aanvaller kwam binnen via wachtwoord contractor en "MFA fatigue"

maandag 19 september 2022, 22:05 door Redactie, 7 reacties
Laatst bijgewerkt: 20-09-2022, 09:42

De aanvaller die wist in te breken op systemen van taxi-app Uber maakte gebruik van het wachtwoord van een contractor en een tactiek die "MFA fatigue" wordt genoemd. Dat heeft het bedrijf vanavond bekendgemaakt. Vorige week werd bekend dat Uber slachtoffer van een aanval was geworden, waarbij allerlei systemen werden gecompromitteerd. Het zou onder andere gaan om de Amazon Web Services-console, VMware ESXi virtual machines, Google Workspace beheerdersdashboard, respositories met broncode, Slack-server en HackerOne-account.

Uber maakt gebruik van allerlei externe partijen en personen. Het persoonlijke systeem van één van deze personen was besmet geraakt met malware, waardoor de inloggegevens om toegang te krijgen tot interne Uber-systemen konden worden gestolen. Uber maakt echter gebruik van multifactorauthenticatie (MFA) waarbij personen die op het netwerk willen inloggen een verzoek op hun telefoon moeten bevestigen. Een aanvaller heeft hierdoor niet voldoende aan alleen inloggegevens om toegang te krijgen.

Aanvallers maken echter gebruik van een tactiek die "MFA fatigue" wordt genoemd. Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang krijgt. Een tactiek die ook succesvol bij een inbraak op het netwerk van Cisco werd toegepast.

Vervolgens wist de aanvaller toegang tot de accounts van verschillende andere medewerkers te krijgen, hoewel Uber niet uitlegt hoe dit precies in zijn werk ging. Uiteindelijk wist de aanvaller zo zijn rechten te verhogen en toegang tot verschillende tools te krijgen, waaronder G-Suite en Slack. De aanvaller plaatste ook een bericht op het Slack-kanaal van Uber en wijzigde de OpenDNS-instellingen, waardoor medewerkers bij sommige interne websites obscene afbeeldingen te zien kregen.

Naar aanleiding van de aanval besloot Uber van de gecompromitteerde accounts het wachtwoord te resetten, de broncode te vergrendelen om aanpassingen te voorkomen en werden getroffen interne tools uitgeschakeld. Bij het weer online brengen van de tools moesten werknemers zich opnieuw authenticeren. Daarnaast gaat Uber het MFA-beleid aanpassen en is er aanvullende monitoring toegevoegd.

Volgens het bedrijf is de aanval uitgevoerd door een aanvaller die aan de Lapsus$-groep is gelieerd. Deze groep voerde eerder succesvol aanvallen uit tegen Microsoft, Samsung, Nvidia en Okta. Om toegang tot de netwerken van slachtoffers te krijgen schaft de groep vermoedelijk gestolen inloggegevens en sessiecookies aan. Ook in dit geval vermoedt Uber dat de gestolen inloggegevens van de contractor op internet te koop werden aangeboden. Hoe het systeem van de contractor besmet raakte is niet bekendgemaakt.

Reacties (7)
19-09-2022, 22:22 door Anoniem
Tip om niet gehackt te worden: FIDO2 beveiligingssleutels zijn niet kwetsbaar voor MFA fatique
20-09-2022, 08:21 door Anoniem
Ongelofeliijk dat dit soort aanvallen blijven werken. Nu blijkt wel weer dat ook deze vorm van gemak (alleen op 'Ja' of 'Nee' hoeven drukken) ook teveel is.

Kleine opmerking: het is 'fatigue', i.p.v. 'fatique'.
20-09-2022, 11:08 door Anoniem
Deze aanvalsvorm is gebaseerd op Multi-Factor-Authorisation Fatigue, een tactiek die bedrijven al enige jaren gebruiken.

Het blijkt dat veel mensen bij elke cookie-banner klakkeloos op "Ja" drukken zonder te weten waar ze akkoord voor geven.
Vervolgens heeft het bedrijf in kwestie toegang tot allerlei gegevens van de gebruiker.
20-09-2022, 13:04 door Anoniem
Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang krijgt.
Nou ja zeg, als ik verschillende keren authenticatie voor mijn neus krijg, dan weet ik dat er geprobeerd wordt om mijn account binnen te dringen. Normaliter krijg je maar 1x die authencatie te zien, en niet verschillende keren achter elkaar.
20-09-2022, 13:42 door Anoniem
Wat een van de redenen is dat in Microsoft Authenticator de optie ook is toegevoegd van een challenge-response. Niet alleen maar op "OK" klikken, maar op het *juiste* knopje 20 - 69 - 73. Welke nummertje wordt er op de website getoond?
20-09-2022, 16:43 door Anoniem
Door Anoniem:
Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang krijgt.
Nou ja zeg, als ik verschillende keren authenticatie voor mijn neus krijg, dan weet ik dat er geprobeerd wordt om mijn account binnen te dringen. Normaliter krijg je maar 1x die authencatie te zien, en niet verschillende keren achter elkaar.

Goed dat JIJ dat snapt .

Ga nu eens met normale mensen praten en vraag wat ze denken als ze een paar die authenticator popup krijgen.

Denk je nu echt dat het "normaal" is dat iedereen die relatie meteen snapt ?
Of post je alleen om te zeggen hoe slim je bent ?
20-09-2022, 20:51 door Anoniem
Door Anoniem: Nou ja zeg, als ik verschillende keren authenticatie voor mijn neus krijg, dan weet ik dat er geprobeerd wordt om mijn account binnen te dringen. Normaliter krijg je maar 1x die authencatie te zien, en niet verschillende keren achter elkaar.
Als je jezelf beoordeelt op basis van de momenten dat je met je hoofd bij het onderwerp bent dan onderschat je vermoedelijk hoeveel minder alert en geërgerd je reageert als je je op iets heel anders aan het concentreren bent en daar steeds storende dingen doorheen komen.

Als het klopt wat iemand hierboven aangaf, dat er alleen een simpele ja/nee-reactie gegeven moet worden, dan zit een ongeluk echt in een piepklein hoekje. Iemand kan dan, ontregeld door de zoveelste storing, per ongeluk de verkeerde keuze maken.

Een doodsimpele verbetering aan een dergelijke app zou zijn als hij uitsluitend de 2FA-bevestiging toont als je eerst de app hebt gestart en die hebt verteld dat er nu (bijvoorbeeld binnen 60 seconden) een 2FA-handeling verwacht wordt. Heb je dat als gebruiker niet eerst gedaan dan wordt simpelweg het bericht van de server genegeerd en wordt de 2FA-prompt niet getoond. Daarmee valt het risico op 2FA-fatigue. Ondertussen kan op de server worden gereageerd op een aantal mislukte inlogpogingen door het account te blokkeren.

Ik weet dat er mensen zijn die helemaal afknappen op elke extra handeling en elke handeling die je niet gedachtenloos kan doen (en opvallend veel hoge managers hebben daar last van), maar behalve dat dit voorkomt dat iemand gespamd wordt door 2FA-prompts is dit soort extra handelingen precies wat een gebruiker dwingt om inloggen met net wat meer zorgvuldigheid te doen, en ook dat is goed voor de beveiliging. Maximale moeiteloosheid is niet altijd goed.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.