Anatomia di un attacco MFA Bypass

Che cos'è un attacco di bypass MFA?

Un attacco di bypass dell'autenticazione a più fattori (MFA) si verifica quando un aggressore riesce ad aggirare i controlli MFA di un'organizzazione per ottenere un accesso non autorizzato. Sebbene i metodi di autenticazione siano una parte importante della prevenzione, non sempre impediscono agli aggressori di accedere agli account. Gli aggressori possono aggirare i requisiti MFA per ottenere l'accesso alla VPN, condurre ricognizioni di rete, rubare nomi utente e password e, in ultima analisi, sottrarre dati sensibili. 

Tecniche comuni di bypass dell'autenticazione a più fattori (MFA)

I tipi più comuni di tecniche di bypass dell'autenticazione a più fattori (MFA) includono:

• Phishing : gli aggressori utilizzano spesso sofisticate phishing per indurre gli utenti a fornire le loro credenziali MFA.

• Attacchi di affaticamento MFA: l'autore dell'attacco invia alla vittima una serie di richieste MFA ripetute, sommergendola di richieste di convalida fino a quando l'utente non ne approva una, per abitudine o per stanchezza.

• SIM swapping: gli aggressori dirottano il numero di telefono della vittima convincendo l'operatore a trasferirlo su una scheda SIM di un altro dispositivo. Questa tecnica sta diventando sempre più comune a causa dell'uso diffuso dell'autenticazione basata su SMS. 

• Dirottamento della sessione: l'autore dell'attacco prende il controllo di una sessione attiva dell'app aziendale per aggirare completamente i metodi MFA. Una volta ottenuto il controllo della sessione, può aggiungere nuovi dispositivi MFA, reimpostare le password e utilizzare l'account dirottato per avanzare nella rete aziendale. 

• Sfruttamento delle falle dell'autenticazione multifattoriale (MFA): gli aggressori individuano una configurazione errata o altre vulnerabilità, solitamente nei sistemi OAuth e Single Sign-On (SSO) integrati, che consentono loro di aggirare il secondo fattore di autenticazione. 

Rilevamento degli aggressori che aggirano l'autenticazione a più fattori (MFA)

Le soluzioni MFA avanzate, come le chiavi di sicurezza e la verifica biometrica, sono una componente fondamentale della sicurezza aziendale. Ma non basta. È altrettanto importante monitorare il proprio ambiente alla ricerca di attività sospette, in modo da poter individuare un attacco di bypass MFA non appena si verifica. 

Vectra AI oltre 150 modelli di rilevamento basati sull'intelligenza artificiale per individuare quando un aggressore aggira l'autenticazione a più fattori (MFA) e altri controlli preventivi. Con MITRE ATT&CK superiore al 90% e 11 riferimenti nel MITRE D3FEND , più di qualsiasi altro fornitore, Vectra AI rileva le tecniche comunemente utilizzate dai criminali informatici per aggirare l'autenticazione a più fattori (MFA), tra cui:

• MFA - Accesso sospetto non riuscito
• MFA Disabilitato
• Accesso compromesso sospetto
• Anomalia nell'operazione Privilege
• Regola di trasporto Exchange sospetta M365

Ad esempio, in un attacco simulato iniziato con l'acquisto di un accesso VPN, l'autore dell'attacco:

• Riconoscimento della rete condotto per spostarsi lateralmente su RDP
• Ha utilizzato credenziali rubate per infiltrarsi in SharePoint e nel codice sorgente
• Creato un nuovo account amministratore per l'accesso ridondante e tentato di creare una regola di trasporto per la futura esfiltrazione.
  

Ma con Vectra AI, i difensori sanno quali entità sono state colpite, ogni superficie occupata e quali azioni intraprendere, e possono bloccare rapidamente gli account in questione.

Scopri come Vectra AI un attacco attivo di bypass MFA

Cosa succede quando un noto gruppo di criminali informatici aggira l'autenticazione a più fattori (MFA), ruba le credenziali e inizia a muoversi lateralmente? Scopri di seguito come il gruppo ransomware Lapsus$ utilizza l'aggiramento dell'autenticazione a più fattori per violare le reti aziendali e scopri perché i rilevamenti basati sull'intelligenza artificiale sono essenziali per individuare attacchi simili.