多要素認証は、ハッカーによるアカウントの乗っ取りを防ぐ強力な防御手段です。しかし、最近の調査結果によると、Lapsus$ と SolarWinds という 2 つのグループが MFA の仕組みに大きな影響を与えているようです。この投稿では、これが何であるかについて説明します。そして最も重要なのは、すべての種類の多要素認証が同じように作成されるわけではないということです。
多要素認証 (MFA) について少し説明
アカウントで多要素認証を有効にしている場合は、アカウントにログインするときに指定するユーザー名とパスワードに加えて、追加の要素も使用する必要があります。これは、スマートフォンや電子メールに送信されるワンタイム パスワード、指紋、または物理的なセキュリティ キーである可能性があります。
MFA フォーム – 概要
すべての MFA がサポートされるわけではありません。セキュリティに関する限り平等に作成されています。最近では、Lapsus$ データ恐喝ギャングや Cozy Bear などのスクリプトキディが、SolarWinds ハッキングの背後にある攻撃者によって、MFA 保護の一部を破ることに成功しています。彼らは、MFA プロンプト ボミングとして知られる手法を使用しています。これについては、このブログで後ほど説明します。
MFA プロンプト ボミングとは何かについて説明する前に、まず多要素認証のベースとなっている 2 つのフレームワークについて詳しく見てみましょう。 –
MFA プロンプト ボミングとは何ですか?
MFA プロンプト ボミングの概念は、最初に、古いアカウントがいかに弱いかを示しています。
多くの MFA プロバイダーが、電話で認証を確認したり、第 2 要素としてプッシュ通知を送信したりできるという事実を認識して、攻撃者は過去に複数の多要素認証を発行してきました。 ユーザーの正規のデバイスにクエストを送信します。より具体的には、Mandiant の研究者によると、APT29、Nobelium、Dukes という名前でも知られる脅威攻撃者 Cozy Bear がこの手法を使用しました。
しかし、脅威攻撃者はいったいどのようにして被害者を縄張りにして盗聴したのでしょうか。認証について?
Lapsus$ のメンバーは、グループの公式 Telegram チャンネルに次のように書きました。「従業員が眠ろうとしている午前 1 時に 100 回電話をかければ、おそらく応じてくれるでしょう。従業員が最初の通話に応じると、MFA 登録ポータルにアクセスして、別のデバイスを登録できます。」
攻撃者は、通話数に制限が設けられていないという事実を悪用したことがわかります。作ることができた。さらに、ユーザーがリクエストを受け入れるまで、リクエストはデバイスに送信されます。リクエストが受け入れられると、脅威アクターはユーザー アカウントにアクセスできるようになります。
非常に驚くべきことに (そして憂慮すべきことに!)、LapSus は$ メンバーは Microsoft 従業員を騙したと主張しました。このメンバーは、「従業員の Microsoft VPN にドイツと米国から同時にログインできましたが、従業員はそれに気づいていないようでした」と述べました。また、MFA を 2 回再登録することもできました。」
セキュリティ専門家向けのレッドチーム ハッキング ツールの販売者であるマイク グローバー氏は「基本的に、単一の方法には多くの手間がかかります」と述べています。フォーム: ユーザーを騙して MFA リクエストを承認させます。 「MFA 爆撃」はすぐに形容詞になりましたが、これにはよりステルスな手法が欠けています。」その方法には次のものが含まれます。
多くのレッド チームがアカウントの MFA 保護を回避するために使用しているテクニックを知りたいですか?はい、「フィッシング不可能」なバージョンも含まれます。
今後何が起こるか、どのように軽減策を講じるかなどについて考えることができるように共有しています。最近では、実際によく見かけるようになりました。
>1/n
— _MG_ (@_MG_) 2022 年 3 月 23 日
- 被害者への電話の一環として
- 対象の被害者が最終的に折れて騒音を止める要求を受け入れることを期待して、大量の MFA 要求を送信します。
- 1 日に 1 ~ 2 件送信します。ここでは、MFA リクエストが受け入れられる可能性はまだ高いです。
MFA を凹ませる手法は新しいものですか?おそらくそうではなく、ある研究者がツイートの 1 つでこれを指摘しました。
Lapsus$ が「MFA 即時爆撃」を発明したわけではありません。彼らの功績をクレジットするのはやめてください。
この攻撃ベクトルは、ラプサスが登場する 2 年前から現実世界の攻撃で使用されていました。
— Greg Linares (@Laughing_Mantis) 2022 年 3 月 25 日
つまり、FIDO2 は攻撃に対して完全に耐性があるということですか?
ある程度はそうです。 FIDO2 の場合、認証にはユーザーのデバイスが必要になるためです。 FIDO2 フォームを使用した MFA は物理マシンに関連付けられており、あるデバイスが別のデバイスにアクセスを許可しようとする場合には発生しません。
しかし、携帯電話を落として壊したり、キーを紛失したり、紛失したりした場合はどうなるでしょうか。ラップトップに搭載されている指紋リーダーを何らかの方法で壊してしまいませんか?あるいは、ハッカーが IT 管理者を騙して Multifactor Authentication をリセットし、新しいデバイスを完全に登録させたらどうなるでしょうか?また、FIDO2 準拠の MFA がオプションではない場合はどうすればよいでしょうか?
FIDO2 形式の多要素認証の場合、MFA プロンプト ボミングが登場します。
- FIDO2 形式の MFA を使用している企業が、機能の実行やネットワークの管理をサードパーティに依存しているとします。このサードパーティ会社は、より弱い MFA フォームを使用して会社のネットワークにアクセスしています。ここでは、FIDO2 の目的全体が無効になります。
Nobelium はどこでも FIDO2 ベースをバイパスできましたが、この場合、ハッカーは被害者の Active Directory を悪用することができ、管理者がユーザー アカウントを作成、削除、変更したり、ユーザー アカウントに認証権限を割り当てるために使用するデータベース ツール。
まとめ悪意のある攻撃者が MFA を阻止するためのより強力な方法を開発しているため、より強力な形式が開発されているという事実を復活させたいと思います。使用すべきです。そうは言っても、MFA の使用はオンライン アカウントの保護に向けた重要なステップであることに変わりはありません。読んだ内容が気に入っていただけましたら、この投稿に高評価をして、下のコメント セクションでご意見を共有してください。
読み取り: 0
