Anatomia di un attacco di bypass MFA

Che cos'è un attacco di bypass MFA?

Un attacco di bypass dell'autenticazione a più fattori (MFA) si verifica quando un aggressore riesce a eludere i controlli MFA di un'organizzazione per ottenere un accesso non autorizzato. Sebbene i metodi di autenticazione siano una parte importante della prevenzione, non sempre impediscono agli aggressori di accedere agli account. Gli aggressori possono aggirare i requisiti MFA per ottenere l'accesso VPN, effettuare ricognizioni di rete, sottrarre nomi utente e password e, infine, esfiltrare dati sensibili. 

Tecniche comuni di aggiramento dell'MFA

I tipi più comuni di tecniche di aggiramento dell'MFA includono:

• AttacchiPhishing : Gli aggressori utilizzano spesso sofisticati phishing tecniche di phishing sofisticate per indurre gli utenti a fornire le proprie credenziali MFA.

• Attacchi MFA Fatigue: L'aggressore investe la vittima con ripetute richieste MFA, inondandola di richieste di convalida finché l'utente non ne approva una, per abitudine o per stanchezza.

• Scambio di SIM: Gli aggressori dirottano il numero di telefono della vittima convincendo il gestore a trasferirlo su una scheda SIM di un altro dispositivo. Questa tecnica sta diventando sempre più comune a causa della diffusione dell'autenticazione tramite SMS. 

• Dirottamento di sessione: L'aggressore si impossessa di una sessione attiva di un'applicazione aziendale per aggirare completamente i metodi MFA. Una volta ottenuto il controllo della sessione, può aggiungere nuovi dispositivi MFA, reimpostare le password e utilizzare l'account dirottato per avanzare nella rete aziendale. 

• Sfruttamento delle falle MFA: Gli aggressori trovano una configurazione errata o altre vulnerabilità, di solito nei sistemi integrati OAuth e Single Sign-On (SSO), che consentono di bypassare il secondo fattore di autenticazione. 

Rilevare gli aggressori che aggirano l'MFA

Le soluzioni MFA avanzate, come le chiavi di sicurezza e la verifica biometrica, sono una componente fondamentale della sicurezza aziendale. Ma non fermatevi qui. È altrettanto fondamentale monitorare il vostro ambiente per individuare attività sospette, in modo da poter individuare un attacco di bypass MFA non appena si verifica. 

Vectra AI utilizza più di 150 modelli di rilevamento basati sull'intelligenza artificiale per rivelare quando un aggressore aggira l'MFA e altri controlli preventivi. Con una copertura MITRE ATT&CK superiore al 90% e 11 riferimenti al framework MITRE D3FEND - più di qualsiasi altro fornitore - Vectra AI rileva le tecniche più comuni utilizzate dai criminali informatici per aggirare l'MFA, tra cui:

• Accesso sospetto MFA fallito
• MFA disabilitato
• Sospetto di accesso compromesso
• Anomalia nel funzionamento dei privilegi
• M365 Regola per il trasporto di scambi sospetti

Ad esempio, in un attacco simulato che ha avuto inizio con un accesso VPN acquistato, l'aggressore:

• Condotta una ricognizione della rete per spostarsi lateralmente su RDP
• Utilizzato credenziali rubate per infiltrarsi in SharePoint e codice sorgente
• Creato un nuovo account di amministrazione per un accesso ridondante e tentato di creare una regola di trasporto per una futura esfiltrazione.
  

Ma con Vectra AI, i difensori sanno quali sono le entità interessate, ogni superficie occupata e quali azioni di risposta intraprendere, e possono bloccare rapidamente gli account in questione.

Scoprite come Vectra AI ha smascherato un attacco attivo di bypass MFA

Cosa succede quando un noto gruppo di criminali informatici aggira l'MFA, ruba le credenziali e inizia a muoversi lateralmente? Scoprite di seguito come il gruppo di ransomware Lapsus$ utilizza l'aggiramento dell'MFA per introdursi nelle reti aziendali e scoprite perché i rilevamenti guidati dall'intelligenza artificiale sono essenziali per individuare attacchi simili.