Nieuws
image

Microsoft: MFA voorkomt 99,2 procent van aanvallen op accounts

donderdag 5 oktober 2023, 15:39 door Redactie, 13 reacties

Het inschakelen van multifactorauthenticatie (MFA) voorkomt 99,2 procent van de aanvallen op accounts, zo claimt Microsoft. Vier jaar geleden was dat nog 99,9 procent. Volgens Microsoft maken aanvallers steeds vaker gebruik van 'MFA fatigue' om accounts die door middel van multifactorauthenticatie zijn beveiligd te compromitteren. Taxi-app Uber en Cisco werden op deze manier gecompromitteerd.

Bij MFA fatigue logt de aanvaller herhaaldelijk in met gestolen inloggegevens, waardoor het slachtoffer allerlei push-notificaties op zijn telefoon ontvangt om de inlogpoging op zijn account goed te keuren. De aanvaller blijft vervolgens net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna er toegang tot het account wordt verkregen. Microsoft zag het afgelopen jaar naar eigen zeggen zesduizend gevallen van MFA fatigue-aanvallen per dag. Het techbedrijf adviseert gebruikers dan ook om goed op te letten voordat ze MFA-inlogprompts goedkeuren.

Naast het inschakelen van MFA kunnen organisaties aanvallen nog verder beperken door het tijdig installeren van beveiligingsupdates, gebruik van beveiligingssoftware en beveiligen van data. "Basale security-hygiëne beschermt nog steeds tegen 99 procent van de aanvallen", zo stelt Microsoft in het vandaag verschenen Digital Defense Report.

Reacties (13)
Reageer met quote
05-10-2023, 16:03 door musiman
Aangezien Microsoft dit medio dit jaar is begonnen om passwordless authenticatie bij al diens klanten in Azure aan te zetten, vermoed ik dat MFA Fatigue minder effectief gaat worden bij de Azure gebruikers. Met passwordless authentication krijg je niet meer een prompt voor goedkeuring, maar moet er een getal tussen 0 en 99 ingevuld worden. Dat getal zie je wanneer je ZELF aan het inloggen bent. Oftewel, wanneer de aanval met jouw credentials inlogt, ziet de aanvaller dat getal, maar jij zelf niet. Hierdoor kun je niet zomaar akkoord gaan met de inlogpoging.
Reageer met quote
05-10-2023, 16:54 door Anoniem
Verstandig om bellen/SMS uit te schakelen en alleen MFA via de app toe te staan. de user moet dan een 2 cijferige code overtikken van App naar PC en dan werkt het truukje niet van de hackers.
Reageer met quote
05-10-2023, 17:38 door CorChando
@muisman: dat heeft helemaal niets te maken met Passwordless Authentication maar met Number Matching. Dat Passwordless Authentication hier ook gebruik van maakt, dat is correct. Maar het geldt dus ook voor reguliere inlogprompts sinds mei van dit jaar: https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-mfa-number-match

@Anoniem:
Ook dan lukt een truukje: https://www.csoonline.com/article/648626/russian-cyberspies-defeat-microsoft-number-matching-2fa-policy-with-fake-teams-messages.html
Maar het is vele malen meer werk en veel kleinere kans dat users erin trappen, MFA fatigue was een serieus en groot probleem. Number matching is wat dat betreft een zegen en ook nog eens ontzettend eenvoudig.
Reageer met quote
05-10-2023, 17:47 door Anoniem
MFA fatigue speelt alleen bij MFA-systemen waarbij een aanvaller kan veroorzaken dat de legitieme gebruiker een MFA-verzoek voorgeschoteld krijgt, bijvoorbeeld omdat het als SMS of smartphone-app is geïmplementeerd. Een prompt voor zo'n lastig hardwaretoken dat je niet als app kan verspreiden krijgt de aanvaller zelf voor zijn kiezen. MFA fatigue is een symptoom van een zwakte van het gebruikte MFA-systeem.
Reageer met quote
05-10-2023, 20:26 door Anoniem
Geen Microsoft Account hebben, voorkomt 100,0% van alle aanvallen op Microsoft Accounts.
En het voorkomt lock-out van je eigen cloud data. Want geen Microsoft Account betekent geen OneDrive data in die cloud. Bijvoorbeeld als je permanent toegang tot je tweede factor verliest door slordigheid of diefstal van je smartphone.
Reageer met quote
05-10-2023, 21:11 door Anoniem
Door Anoniem: MFA fatigue speelt alleen bij MFA-systemen waarbij een aanvaller kan veroorzaken dat de legitieme gebruiker een MFA-verzoek voorgeschoteld krijgt, bijvoorbeeld omdat het als SMS of smartphone-app is geïmplementeerd. Een prompt voor zo'n lastig hardwaretoken dat je niet als app kan verspreiden krijgt de aanvaller zelf voor zijn kiezen. MFA fatigue is een symptoom van een zwakte van het gebruikte MFA-systeem.
Oplossingen moeten ook werkbaar en gebruikers vriendelijk zijn en blijven.

Hardware tokens vallen daar niet onder
Reageer met quote
05-10-2023, 21:12 door Anoniem
Door Anoniem: Geen Microsoft Account hebben, voorkomt 100,0% van alle aanvallen op Microsoft Accounts.
En het voorkomt lock-out van je eigen cloud data. Want geen Microsoft Account betekent geen OneDrive data in die cloud. Bijvoorbeeld als je permanent toegang tot je tweede factor verliest door slordigheid of diefstal van je smartphone.
Daarom moet je altijd een recovery hebben voor de MFA.
Reageer met quote
06-10-2023, 08:46 door Anoniem
Door Anoniem: Geen Microsoft Account hebben, voorkomt 100,0% van alle aanvallen op Microsoft Accounts.
En het voorkomt lock-out van je eigen cloud data. Want geen Microsoft Account betekent geen OneDrive data in die cloud. Bijvoorbeeld als je permanent toegang tot je tweede factor verliest door slordigheid of diefstal van je smartphone.

Geen ICT voorzieningen hebben voorkomt 100% van alle aanvallen op ALLES! Door slordigheid kun je alles verliezen digitaal lokaal, fysiek etc. Het gaat er maar om hoe je er mee om gaat. Dat het soms voor gebruikers niet helemaal duidelijk is dat is inderdaad soms nog een grote misser. Maar dit artikel doelt meer op zakelijke kant van MS accounts.
Reageer met quote
06-10-2023, 09:22 door Anoniem
Dit is echt zo'n onzin melding... nu 99%.. #1 dat betekent dat bijna 1 op de 100 successvol verloopt, wat in de trend van 1 miljard pogingen per dag wel een beetje laag is... en #2 is dat een moment opname... in 1980 was het gebruiken van een wachtwoord van 4 karakters al voldoende om 99% te halen... Morgen is dat misschien niet meer het geval..

Anyway, bottomline, 99% is veel te weinig...
Reageer met quote
06-10-2023, 15:31 door musiman
Door Anoniem: Dit is echt zo'n onzin melding... nu 99%.. #1 dat betekent dat bijna 1 op de 100 successvol verloopt, wat in de trend van 1 miljard pogingen per dag wel een beetje laag is... en #2 is dat een moment opname... in 1980 was het gebruiken van een wachtwoord van 4 karakters al voldoende om 99% te halen... Morgen is dat misschien niet meer het geval..

Anyway, bottomline, 99% is veel te weinig...

Er staat: "MFA voorkomt 99,2 procent van de aanvallen op accounts"
Er staat niet dat die andere 0,8 procent succesvol is. Oftewel, MFA voorkomt 99,2 procent van de aanvallen, maar andere technieken kunnen ook helpen om de aanvallen te mitigeren. Het percentage succesvolle aanvallen is derhalve minder dan die 0,8 procent.
Reageer met quote
07-10-2023, 10:24 door Anoniem
Ik zie nog geen afname in windows ransomware incidenten te zien.
Reageer met quote
07-10-2023, 12:09 door Anoniem
Door Anoniem: Maar dit artikel doelt meer op zakelijke kant van MS accounts.

De Pro versie van Microsoft Windows 11 was juist de laatste versie waar een Microsoft Account verplicht werd. Bij de Enterprise versie kan installeren nog steeds zonder. Omdat bedrijven geen Microsoft Account op hun hardware willen. Bedrijven willen dit niet.

https://support.microsoft.com/en-us/windows/windows-11-system-requirements-86c11283-ea52-4782-9efd-7674389a7ba3:
Internet Connectivity and Microsoft Accounts: Windows 11 Home edition requires internet connectivity and a Microsoft Account to complete device setup on first use.

Anoniem 20:26
Reageer met quote
08-10-2023, 11:19 door Anoniem
Moet je voor de grap eens zoeken op Evilginx. Daarmee kan je (oa) een Office365 gebruiker zijn/haar UPN, wachtwoord en token jatten. Daarna ben je binnen.

Het grootste gevaar voor je digitale omgeving is nog altijd de gebruiker. Die klikt overal op dus in plaats van MFA te verbeteren zou Microsoft meer energie moeten steken in het tegengaan van quishing in een plaatje en andere tactieken die worden ingezet om een foute link bij een gebruiker te krijgen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search