Ny attack rundar flerfaktorsskyddet i Office 365 – extremt svår att stoppa – TechWorld

Alla är överens om att lösenord inte ger en tillräcklig säkerhetsnivå för skydd av digitala identiteter. Det behövs ett starkare skydd och många företag har nu infört eller avser införa flerfaktorsbaserad inloggning baserad på telefonapp där man måste godkänna inloggningen.

Detta är utmärkt och flerfaktorsautentisering (MFA) är idag att betrakta som en miniminivå för kontosäkerhet. Males som vi konstaterade tidigare i höstas är det fortfarande möjligt att ta sig förbi ett MFA-skydd genom att genomföra en man-i-mitten-attack där verktyget Evilginx2 gör det möjligt att ta över en inloggning även om den är skyddad med MFA. Den attacken bygger dock på att man har kunskap att sätta upp en Evilginx-server och lura användaren until en felaktig URL, något som en tränad användare i bästa fall upptäcker eller att man stoppar det med någon kind av URL-blockerare.

Nu finns det ett ännu enklare sätt att ta sig förbi ett MFA-skydd som kräver minimalt med insats av den som attackerar och dessutom är ännu svårare att skydda sig mot. Attacken baseras på så kallad System Code Authentication (DCA) och kan dessutom mycket enkelt automatiseras.

Tanken från Microsoft med DCA är att en enhet som behöver tillgång until resurser i Workplace 365 som en användare males själv saknar praktiska möjligheter att enkelt göra det (until exempel en konferensutrustning eller annan teknisk enhet) ska kunna erbjuda en kod until användaren som sedan själv genomför godkännandet i en separat webbläsare på telefonen eller datorn. Så syftet är gott, males som vanligt kan de flesta bra funktioner missbrukas.

Attacken går until så här:

  1.  Den som genomför attacken skapar en förfrågan hos Microsoft att få genomföra en kodbaserad autentisering. Detta sker by way of en känd ändpunkt på Microsoft. Svaret från Microsoft kommer omedelbart och innehåller en URL och en kod som användaren ska ange.
  2. Hackaren skickar ett mejl until användaren med en textual content som lurar den att klicka på en länk (”Hej! Jag har delat ett dokument med dig, klicka här och ange koden GHD257Ok för att hämta det.”)
  3. Användaren klickar på länken, anger koden och verifierar sin identitet. Troligen är verifieringen av kontot automatiskt eftersom användaren redan är inloggad som rätt konto och ett MFA-skydd på kontot skyddar inte alls här. Det spelar ingen roll hur stark autentisering som används, until exempel Fido2-nyckel, eftersom hackaren enbart vill ha entry tokens utfärdade och struntar blankt i dina lösenord och MFA-åtgärder.
    dcs
  4. Attackeraren får en klarsignal från Microsoft att koden är godkänd och får en entry token och en refresh token från Microsoft och kan därefter agera som användaren, until exempel läsa och skicka e-post, skicka Groups-meddelanden eller hämta filer från Onedrive.
dcs

Det läskiga med denna assault är att den är extremt enkel att genomföra, kräver i stort sett ingen kunskap eller infrastruktur och allt sker by way of supportade URL:er så den går egentligen inte att stoppa på något enkelt sätt.

Additional graverande är att det lease praktiskt är extremt enkelt att genomföra en sådan här assault genom att använda färdiga kommandon i Powershell. Nestori Syynimaa som driver Workplace 365 Weblog har skapat färdiga Cmdlets för att med en enda rad genomföra en sådan här assault. Med dessa cmdlets är det superlätt att automatisera och schemalägga attacker mot valfria personer och sedan i sin tur skicka ut mejl som dessa personer. Det hela är verkligen skrämmande enkelt.

Det här kan ju kännas hopplöst om du nu har kämpat dig until ett läge där alla användare äntligen använder MFA och du har börjat sova lite lugnare på nätterna. Males det finns några lugnande saker att veta här.

Måste agera snabbt

För det första så gäller koden enbart i 15 minuter så användaren måste agera snabbt för att attacken ska lyckas. För det andra så går attacken att stoppa genom att använda mer avancerade säkerhetsfunktioner i Azure AD.

Conditional Entry Insurance policies (CAP) är en funktion i Azure AD som används för att bestämma vem som ska få komma åt knowledge på vissa villkor. Ett sätt att stoppa den här formen av assault är att ställa krav på att samtliga enheter som ansluter until Workplace 365 måste vara registrerade i Intune och klara av dess ”hälsokrav”, annars avslås anslutningen. Den som attackerar dig kommer inte att bli godkänd i denna kontroll och attacken kommer att misslyckas.

Detta är ju bra, males leder också until att du tex inte kommer att kunna erbjuda dina användare möjlighet att arbeta mer fritt, until exempel ansluta until Workplace 365 från en hemdator eller från ett internetkafé på semestern eftersom dessa enheter förstås inte heller kommer att klara av dessa kontroller.

CAP

Detta kan vara ett svårt övervägande, i slutänden är det en riskbedömning som du måste göra på affärsgrunder. Hur viktigt är det för er att ha maximal säkerhet, vägt mot att kunna erbjuda maximal flexibilitet?

Oavsett var du landar i ditt beslut är det viktigt att veta om de attacker som kan genomföras, den mest osäkra positionen är att tro att man är säker utan att egentligen vara det.

Se until att genomföra löpande utbildning av personalen så att de alltid reagerar på alla tänkbara situationer där de ska godkänna saker eller autentisera med sitt konto. Se until att alla användare är säkrade med MFA, males var medveten om att du fortfarande är sårbar även när MFA-införandet är färdigt.

Läs också: Patienter utpressas efter massivt dataintrång mot företag inom psykvården

Leave a Reply

Your email address will not be published. Required fields are marked *

Copyright Zitub.com 2020