O ataque cibernético de setembro ao serviço de carona Uber começou quando um criminoso comprou credenciais roubadas de um funcionário da empresa na dark web. O malfeitor tentou repetidamente fazer login na conta Uber, acionando a solicitação de aprovação de login de dois fatores que o contratado inicialmente negou, bloqueando o acesso. No entanto, após um tempo, ele acabou aceitando uma das muitas notificações push, permitindo que o invasor fizesse login na conta e, por fim, fizesse acesso à rede, sistemas e dados corporativos da Uber.
O serviço de mobilidade se tornou a mais recente vítima de destaque da fadiga da autenticação multifator (MFA), um problema de segurança cibernética cada vez maior, no qual os invasores são capazes de contornar uma pedra angular das defesas modernas em um momento em que os grupos de ameaças estão mudando o foco da infecção de endpoints para o roubo de identidade.
A Microsoft e a Cisco Systems também foram vítimas da fadiga de MFA – também conhecida como spam de MFA ou bombardeio de MFA – este ano, ataques que aumentam rapidamente. De acordo com a Microsoft, entre dezembro de 2021 e agosto, o número de ataques de MFA multifator quase dobrou. Houve 22.859 sessões do Azure Active Directory Protection com várias tentativas de MFA com falha em dezembro passado. Em agosto, eram 40.942.
Um buraco no MFA
A autenticação multifator está entre várias ofertas de segurança projetadas para proteger as empresas contra ameaças cibernéticas e o problema de funcionários clicarem inadvertidamente em anexos de e-mail maliciosos ou URLs projetados para roubar credenciais, incluindo nomes de usuário e senhas necessários para logins de fator único. Assim, outro fator de autenticação é necessário para acesso aos dados, podendo ser de impressão digital ou reconhecimento facial até um PIN ou uma resposta a uma pergunta de segurança.
Também há notificações push, que são solicitações no dispositivo móvel de um usuário, se houver uma tentativa de usar suas credenciais para entrar em um sistema ou conta. Os prompts solicitam a verificação de que o usuário é quem está tentando fazer login.
Em uma situação de fadiga de MFA, o invasor usa as credenciais roubadas para tentar entrar em uma conta protegida repetidamente, sobrecarregando o usuário com notificações push. O usuário pode inicialmente tocar no prompt negando ser ele que está tentando o acesso, mas eventualmente se cansa do spam e o aceita apenas para impedir que o telefone seja desligado. Ele pode assumir que é uma falha temporária ou um sistema automatizado que está causando o aumento nas solicitações.
Um departamento de TI poderia, se possível, introduzir uma política que impeça o usuário de fazer login e encerrar o spam de MFA, após um certo número de solicitações de autenticação de segundo fator com falha. Essa regra pode ser explorada para bloquear ataques de negação de serviço. Mas, é possível que o usuário aceite acidentalmente ou erroneamente a solicitação antes que o limite seja atingido. Por outro lado, os benefícios podem superar estes pontos negativos, então está aí uma opção a ser considerada.
Dito isso, às vezes o invasor se apresenta como parte da equipe de TI da organização, enviando mensagens ao funcionário tentando induzi-lo a aceitar o acesso.
Presa
A fadiga do MFA depende da engenharia social, bem como de quaisquer deficiências no design do sistema, para acessar a rede corporativa.
A intenção é fazer com que a vítima fique frustrada com inúmeras solicitações de MFA e, finalmente, clique em ‘aprovar’. Todos nós já experimentamos algo semelhante com a tecnologia. Seja tão simples quanto programar o relógio de uma geladeira ou clicar nas telas para aceitar todos os cookies para acessar o conteúdo que procuramos, nem sempre validamos a solicitação. É com isto que o infrator conta.
Grupos de ameaças executados com spam de MFA
O ataque é relativamente simples e altamente funcional. Em maio, a gangue Yanluowang usou o spamming MFA no ataque contra a Cisco e depois publicou alguns dos dados roubados em um site de vazamento na dark web. Em março, o grupo Lapsus$ vazou 37 GB de código-fonte roubados da Microsoft após comprometer um funcionário por fadiga de MFA.
Depois veio o Uber, que colocou a culpa na Lapsus$.
Em um relatório atualizado em maio, a Mandiant, de propriedade do Google, apontou algumas equipes russas usando spam de MFA em seus ataques. A ameaça também chamou a atenção do governo estadunidense. A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicou fichas informativas destacando as ameaças à MFA e como as organizações podem se proteger.
Sami Elhini, especialista em biometria da Cerberus Sentinel, destaca que, como o phishing, a fadiga da MFA é uma forma de engenharia social.
Empresas que confiam mais em MFA, confiança zero
Os ataques à MFA ocorrem neste momento em que as empresas, com o arrefecimento da pandemia de COVID-19, estão adotando modelos cloud-first e zero trust, que devem contar com a MFA para ajudar a proteger dados e aplicativos, afirmou Stephanie Aceves, diretora sênior de gerenciamento de produtos da Tanium, ao The Register.
“A fadiga da MFA representa uma séria ameaça para as organizações, porque é uma maneira bastante trivial de um invasor paciente obter acesso a recursos de empresas privadas”, disse Aceves, observando que visa o risco mais significativo para as empresas – pessoas que podem ser manipuladas.
Diante disso, o que as empresas podem fazer para se proteger dos ataques de spam de MFA? Educar os funcionários sobre a ameaça é importante – como ensiná-los a identificar e lidar com picos de solicitações de MFA – mas não é a solução completa e única.
Garantir que os aplicativos de autenticação não sejam manipulados e as solicitações sejam aceitas erroneamente antes que possam ser totalmente avaliadas, por exemplo, seria útil. A adição de tratamento inteligente de logins, para que haja um período de reflexão após um ataque de spam de MFA, também é útil.
Além disso, algumas formas de MFA, como tokens de autenticação únicos, podem ser phishing junto com nomes de usuário e senhas para permitir que um criminoso faça login em nome da vítima. Encontrar e implementar uma abordagem de MFA resistente a phishing é algo que vale a pena pensar.
“As pessoas foram informadas de que precisam se livrar das senhas e migrar para a MFA, mas não estão sendo informadas de que a grande maioria da MFA é facilmente phishing, tão fácil de roubar ou ignorar quanto sua senha”, afirmou Roger Grimes, data- analista de defesa da KnowBe4.
Assim, além de reforçar sua implantação de MFA, ainda é importante fornecer aos usuários uma “educação sobre tipos comuns de ataques e como reconhecê-los, evitá-los e como denunciar adequadamente. Literalmente, cinco minutos de educação fariam um mundo de diferença.”
E tão importante quanto a educação e as defesas de autenticação, você precisa arquitetar seus sistemas e redes para que, se ou quando alguém cair em um phishing, a violação de segurança seja contida o máximo possível e detectada o mais cedo possível.
Soluções possíveis
Algumas empresas estão debruçadas neste desenvolvimento. A Microsoft, por exemplo, está tornando a correspondência de números um recurso padrão em seu aplicativo Authenticator. Isso exige que um usuário que responda a uma notificação por push de MFA usando a ferramenta digite um número que aparece na tela do dispositivo para aprovar um login. O número será enviado apenas para usuários que foram habilitados para correspondência de números, de acordo com a Microsoft.
Eles também estão adicionando outros recursos ao Authenticator, incluindo mostrar aos usuários em qual aplicativo eles estão entrando e a localização do dispositivo, com base no endereço IP usado para entrar. Se o usuário estiver na Califórnia, mas o dispositivo está na Europa, isso deve levantar uma grande bandeira vermelha. Isto também deve ser detectado automaticamente pelos sistemas de autenticação.
Em agosto, o Duo também introduziu a correspondência de números em seu aplicativo Duo Push. O recurso Verified Duo Push, que está em acesso antecipado, exige que os usuários insiram um código de verificação para “garantir que apenas aqueles que forem verificados possam fazer login e evitar que alguém aceite distraidamente um push que não solicitou”, escreveu Joshua Terry, gerente de produto da Duo, em uma postagem no blog.
A Okta também oferece às organizações o que chama de “desafio numérico” para notificações push com sua ferramenta Okta Verify.
A CISA está incentivando as organizações a implementarem defesas anti-MFA-phishing ou pelo menos várias ferramentas.
“Embora a correspondência de números não seja tão forte quanto a MFA resistente a phishing, é uma das melhores mitigações provisórias para organizações que podem não conseguir implementar imediatamente a MFA resistente a phishing”, escreveu a agência.
Quanto à limitação do número de solicitações de autenticação MFA malsucedidas: o Okta limita esse número a cinco; a Microsoft e o Duo oferecem às organizações a capacidade de implementá-lo em suas configurações e ajustar o número de tentativas com falha antes que a conta do usuário seja bloqueada automaticamente.
Com o Microsoft Authenticator, as empresas também podem definir o número de minutos antes que um contador de bloqueio de conta seja redefinido.
“No final das contas, nenhum modelo é perfeito”, diz Aceves, da Tanium. “Como especialistas em segurança, é nossa responsabilidade criar controles e camadas adicionais de defesa para impedir que invasores acessem os dados e recursos que temos a tarefa de proteger”.
Para alguns, sem senha é o objetivo final
Para empresas como Microsoft, Google e Apple, um passo fundamental será eliminar completamente as senhas. Em maio, os três assinaram o padrão de login sem senha comum criado pela FIDO Alliance e World Wide Web Consortium para tudo, desde sites a aplicativos e entre dispositivos e plataformas.
No entanto, a adoção ampla levará tempo. Ainda existem sistemas e aplicativos legados que não suportam autenticação sem senha, mas o objetivo final será eliminar o que se tornou uma fraqueza fundamental na cadeia de segurança cibernética. Até lá, o fortalecimento de senhas continuará sendo importante.
“Nem todas as MFAs são iguais e a conscientização cibernética é fundamental, juntamente com controles de segurança adicionais, como gerenciamento de acesso privilegiado [que] pode ajudar a reduzir esses riscos, como mover senhas para segundo plano e garantir que cada conta tenha senhas complexas e exclusivas”, indicou Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea, ao The Register. Reportagem do The Register
