Hakerzy używają Microsoft MFA, aby uzyskać dostęp do usług i sieci w chmurze
Firma badająca cyberbezpieczeństwo Mandiant zauważyła nowy trend polegający na tym, że hakerzy wykorzystują uwierzytelnianie wieloskładnikowe (MFA) do włamywania się i uzyskiwania dostępu do nieaktywnych kont Microsoft. MFA to ważne narzędzie wykorzystywane przez organizacje do poprawy bezpieczeństwa i zapobiegania hakerom. Jest jednak jeden haczyk.
Hakerzy korzystają z procesu samodzielnej rejestracji w Azure Active Directory i na innych platformach. Zazwyczaj, gdy organizacja po raz pierwszy wdraża usługę MFA, wiele platform umożliwia swoim użytkownikom natychmiastowe zarejestrowanie urządzenia usługi MFA. Jednak w usłudze Azure AD ta rejestracja nie jest stosowana w konfiguracji domyślnej. Oznacza to, że każdy, kto ma poświadczenia logowania do konta, może zarejestrować się w usłudze MFA, jeśli robi to po raz pierwszy na tym koncie.
Wcześniej rosyjska grupa szpiegowska APT29 przeprowadziła atak polegający na odgadywaniu hasła na listę adresów e-mail. W przypadku kont, które zostały skonfigurowane, ale nigdy nie były używane, grupa hakerów mogła użyć ich w celu uzyskania dostępu do infrastruktury VPN organizacji. Sieć VPN używała usługi Azure AD do uwierzytelniania i usługi MFA.
Firma Mandiant zaleca, aby organizacje upewniły się, że wszystkie aktywne konta mają co najmniej jedno zarejestrowane urządzenie usługi MFA, i skontaktowały się z dostawcą platformy, aby dodać dodatkowe kontrole do procesu rejestracji usługi MFA. Microsoft Azure AD niedawno wdrożył funkcję, która umożliwia organizacjom stosowanie kontroli nad niektórymi działaniami, takimi jak rejestracja urządzeń MFA.
Organizacje mogą również ograniczyć lokalizację rejestracji usługi MFA tylko do zaufanych lokalizacji, takich jak sieć wewnętrzna lub zaufane urządzenia. Mogą również użyć przepustki tymczasowej usługi MFA, aby zarejestrować się w usłudze MFA, gdy ludzie po raz pierwszy łączą się lub tracą swoje urządzenie MFA.
Dodaj komentarz