Velhos truques, novas vítimas: Lapsus$ e Hackers da SolarWinds utilizam truques antigos para contornar a autenticação multifator (MFA)

Velhos truques, novas vítimas: Lapsus$ e Hackers da SolarWinds utilizam truques antigos para contornar a autenticação multifator (MFA)

Em termos práticos, Multi-Factor Authentication ou Autenticação Multi Fator (MFA), em sua tradução para o português, é o uso de dois ou mais fatores ou agentes para verificação quanto a autenticidade de algo.

Para acessar alguma conta virtual, além de usar login e senha, com MFA você vai precisar de um fator adicional, seja uma impressão digital, chave de segurança física ou senha de uso único – antes de acessar uma conta.

Por que usar o MFA?

Parece até desnecessário responder a essa pergunta. Todavia, os menos atentos podem acreditar que usuários e senhas suficientemente fortes bastam em termos de segurança, mas mesmo nos casos de usuários precavidos, empresas consideradas muito seguras e sistemas sólidos, os tradicionais usuário e senha, estão sujeitos a ataques de força bruta ou ainda variações de phishing

Adicionar MFA como uma camada de segurança de login adicional pode aumentar significativamente a segurança, mas a maioria das soluções MFA tradicionais ainda podem ser comprometidas com relativa facilidade.

De qualquer forma, podemos afirmar que utilizar MFA em suas aplicações é essencial, mas cuidados adicionais sempre vão ser necessários, principalmente os relacionados ao comportamento humano.

MFA fraco, passível de bombardeio. Entenda!

As senhas de uso único enviadas por SMS ou geradas por aplicativos móveis como o Google Authenticator ou prompts push enviados para um dispositivo móvel, acabam sendo fracas contra possíveis ataques. Entenda a seguir:

SMS: a forma mais comum, os criminosos tentam conseguir seu código SMS de diversas formas, um bom exemplo são por vagas de emprego falsas. Os criminosos ligam para o alvo, fingindo ser parte da empresa e dizem que ele precisa enviar uma solicitação de MFA (o código que você acabou de receber) como parte de um processo de segurança da empresa.

Google Authenticator: se você possui essa função ativa no Gmail já sabe como funciona, você cadastra um dispositivo confiável que sempre que você logar em um dispositivo novo com a sua conta, você precisa autorizar o acesso, ou seja, na prática você recebe no seu dispositivo cadastrado uma mensagem que avisa que um novo login foi feito e pergunta se você reconhece aquela atividade ou não. Surgem dois botões na tela, Não ou Sim.

É aí que entra o bombardeio, o criminoso envia várias solicitações de MFA para o dispositivo legítimo do alvo (o dispositivo cadastrado) até que o usuário aceite a autenticação. Pense comigo, você está no meio de uma reunião importante, seu celular recebe uma notificação, você não lê com atenção e clica instintivamente em Sim, pois você só quer sair daquela situação e voltar a atenção a sua reunião importante e desta forma você está permitindo acesso à conta.

Outra forma de autenticação é via ligação, você cadastra seu número de telefone, e sempre que fizer um novo login você recebe uma ligação. Você atende e clica em uma tela como segundo fator. Um grupo que usa essa técnica é o Cozy Bear, um grupo de hackers de elite que trabalham para o Serviço de Inteligência Estrangeira da Rússia. O grupo também tem os nomes Nobelium, APT29 e Dukes.

Lapsus$, uma gangue de hackers que violou a Microsoft nos últimos meses, também usou essa técnica.

“Não há limite para a quantidade de ligações que podem ser feitas”, escreveu um integrante do Lapsus$ no canal oficial do grupo no Telegram. “Ligue para o funcionário 100 vezes à 1 da manhã enquanto ele está tentando dormir, e ele provavelmente aceitará. Assim que o funcionário aceitar a chamada inicial, você poderá acessar o portal de registro de MFA e registrar outro dispositivo.”

MFA Bombing rapidamente se tornou um dos assuntos mais comentados entre os profissionais de segurança nos últimos dias, mas precisamos lembrar que essas táticas não são inéditas nem foram “inventadas” pelo Lapsus$. 

Especialistas em segurança já utilizam esse formato há pelo menos dois anos e a ideia é que tais práticas devem ser incluídas em treinamentos de segurança e alertas a colaboradores, algo que não acontece com frequência hoje em dia. 

Conforme observado anteriormente, as formas FIDO2 de MFA não são suscetíveis à técnica, pois estão vinculadas à máquina física que alguém está usando ao fazer login em um site. Em outras palavras, a autenticação deve ser realizada no dispositivo que está efetuando login. Não pode acontecer de um dispositivo dar acesso a um dispositivo diferente. O que complica muito o acesso quando acidentes acontecem, se você tiver seu dispositivo roubado, a tela quadrado, dispositivo perdido… você levará mais tempo para conseguir acesso a sua conta, pois mais meios de confirmação vão ser necessários e solicitados até conseguir acesso. Mas isso não significa que as organizações que usam MFA compatível com FIDO2 não possam ser suscetíveis a bombardeios imediatos, ele é apenas um MFA um pouco mais seguro, mas por ser mais complicado as empresas geralmente não utilizam e optam por MFA mais fáceis e então, mais vulneráveis.

Mesmo quando as empresas usam MFA baseado em FIDO2, a Nobelium conseguiu derrotar a proteção . Esse desvio, no entanto, só foi possível depois que os hackers comprometeram completamente o Active Directory de um alvo, a ferramenta de banco de dados que os administradores de rede usam para criar, excluir ou modificar contas de usuários e atribuir a eles privilégios para acessar recursos autorizados.

Esse ataque está além do escopo deste post porque uma vez que um AD (Active Directory) é hackeado, é sucesso total para os hackers. É conversa para outro post, mas fica aqui o alerta! 

Não existe ambiente 100% seguro e livre de ataques ou invasões hackers, busque pelas melhores ferramentas de segurança do mercado e trate a segurança como camadas, igual a uma cebola, sabe? Treine sempre seus colaboradores e continue de olhos bem abertos, não existe uma bala de prata ou um único sistema que irá deixar você 100% seguro de uma hora para outra. Mas podemos sim deixar um ambiente fortemente protegido, o que acaba em alguns casos desestimulando os atacantes, pois eles têm muito trabalho para conseguir alguma informação e só então tentar escalar privilégios. Normalmente eles partem para outra mais fácil.



Gostou do artigo? Compartilhe.

Share on linkedin
LinkedIn
Share on facebook
Facebook
Share on whatsapp
WhatsApp

Faça parte da nossa lista de emails!