Getty Images
L’authentification multifacteur (MFA) est une défense de base parmi les plus efficaces pour empêcher les prises de contrôle de compte. En plus d’exiger que les utilisateurs fournissent un nom d’utilisateur et un mot de passe, MFA garantit qu’ils doivent également utiliser un facteur supplémentaire, qu’il s’agisse d’une empreinte digitale, d’une clé de sécurité physique ou d’un mot de passe à usage unique, avant de pouvoir accéder à un compte. Rien dans cet article ne doit être interprété comme disant que MFA n’est rien d’autre qu’essentiel.
Cela dit, certaines formes de MFA sont plus fortes que d’autres, et les événements récents montrent que ces formes plus faibles ne sont pas vraiment un obstacle à surmonter pour certains pirates. Au cours des derniers mois, des script kiddies présumés comme le gang d’extorsion de données Lapsus$ et des acteurs de la menace d’élite de l’État russe (comme Cozy Bear, le groupe derrière le piratage de SolarWinds) ont tous deux réussi à vaincre la protection.
Entrez le bombardement d’invite MFA
Les formes les plus puissantes de MFA sont basées sur un cadre appelé FIDO2, qui a été développé par un consortium d’entreprises équilibrant les besoins de sécurité et de simplicité d’utilisation. Il donne aux utilisateurs la possibilité d’utiliser des lecteurs d’empreintes digitales ou des caméras intégrés aux appareils ou des clés de sécurité dédiées pour confirmer qu’ils sont autorisés à accéder à un compte. Les formes FIDO2 de MFA sont relativement nouvelles, de sorte que de nombreux services destinés aux consommateurs et aux grandes organisations ne les ont pas encore adoptés.
C’est là qu’interviennent les formes plus anciennes et plus faibles de MFA. Elles incluent des mots de passe à usage unique envoyés par SMS ou générés par des applications mobiles telles que Google Authenticator ou des invites push envoyées à un appareil mobile. Lorsqu’une personne se connecte avec un mot de passe valide, elle doit également saisir le mot de passe à usage unique dans un champ de l’écran de connexion ou appuyer sur un bouton affiché sur l’écran de son téléphone.
C’est cette dernière forme d’authentification qui, selon des rapports récents, est contournée. Un groupe utilisant cette technique, selon la société de sécurité Mandiant, est Cozy Bear, un groupe de pirates informatiques d’élite travaillant pour le service russe de renseignement extérieur. Le groupe porte également les noms de Nobelium, APT29 et the Dukes.
“De nombreux fournisseurs MFA permettent aux utilisateurs d’accepter une notification push d’application téléphonique ou de recevoir un appel téléphonique et d’appuyer sur une touche comme deuxième facteur”, ont écrit les chercheurs de Mandiant. “Le [Nobelium] L’acteur de la menace en a profité et a envoyé plusieurs demandes MFA à l’appareil légitime de l’utilisateur final jusqu’à ce que l’utilisateur accepte l’authentification, permettant à l’acteur de la menace d’accéder éventuellement au compte.
Publicité
Lapsus$, un gang de piratage qui a piraté Microsoft, Okta et Nvidia ces derniers mois, a également utilisé cette technique.
“Aucune limite n’est imposée au nombre d’appels pouvant être passés”, a écrit un membre de Lapsus$ sur la chaîne officielle Telegram du groupe. “Appelez l’employé 100 fois à 1h du matin alors qu’il essaie de dormir, et il l’acceptera très probablement. Une fois que l’employé a accepté l’appel initial, vous pouvez accéder au portail d’inscription MFA et inscrire un autre appareil. »
Le membre de Lapsus $ a affirmé que la technique de bombardement rapide de la MFA était efficace contre Microsoft, qui a déclaré plus tôt cette semaine que le groupe de piratage avait pu accéder à l’ordinateur portable de l’un de ses employés.
“Même Microsoft !” la personne a écrit. “Capable de se connecter au VPN Microsoft d’un employé depuis l’Allemagne et les États-Unis en même temps et ils n’ont même pas semblé s’en apercevoir. J’ai également pu me réinscrire au MFA deux fois.
Mike Grover, un vendeur d’outils de piratage de l’équipe rouge pour les professionnels de la sécurité et un consultant de l’équipe rouge qui passe par le pseudo Twitter _MG_, a déclaré à Ars que la technique est « fondamentalement une méthode unique qui prend plusieurs formes : inciter l’utilisateur à reconnaître une MFA demande. « MFA Bombing » est rapidement devenu un descripteur, mais cela passe à côté des méthodes les plus furtives.
Les méthodes incluent :
- Envoyer un tas de demandes MFA et espérer que la cible en accepte enfin une pour faire cesser le bruit.
- Envoi d’une ou deux invites par jour. Cette méthode attire souvent moins l’attention, mais “il y a encore de bonnes chances que la cible accepte la demande MFA”.
- Appeler la cible, faire semblant de faire partie de l’entreprise et dire à la cible qu’elle doit envoyer une demande MFA dans le cadre d’un processus d’entreprise.
“Ce ne sont que quelques exemples”, a déclaré Grover, mais il est important de savoir que les bombardements de masse ne sont PAS la seule forme que cela prend.
Dans un fil Twitter, il a écrit: «Les équipes rouges jouent avec des variantes à ce sujet depuis des années. Cela a aidé les entreprises assez chanceuses pour avoir une équipe rouge. Mais les attaquants du monde réel progressent plus vite que la posture collective de la plupart des entreprises ne s’améliore.
Vous voulez des techniques que de nombreuses équipes rouges utilisent pour contourner les protections MFA sur les comptes ? Ouais, même les versions “impossibles à hameçonner”.
Je partage pour que vous puissiez réfléchir à ce qui s’en vient, comment vous allez faire des atténuations, etc. C’est plus visible dans la nature ces jours-ci.
🧵1/n
– _MG_ (@_MG_) 23 mars 2022
D’autres chercheurs n’ont pas tardé à souligner que la technique d’invite MFA n’est pas nouvelle.
“Lapsus $ n’a pas inventé” le bombardement rapide MFA “”, a tweeté Greg Linares, un professionnel de l’équipe rouge. «S’il vous plaît, arrêtez de les créditer… comme les créant. Ce vecteur d’attaque a été utilisé dans les attaques du monde réel 2 ans avant que le lapsus ne soit une chose.
Lapsus $ n’a pas inventé le « bombardement rapide MFA », veuillez cesser de les créditer pour l’avoir créé.
Ce vecteur d’attaque a été utilisé dans des attaques réelles 2 ans avant que le lapsus ne soit une chose
– Greg Linares (@Laughing_Mantis) 25 mars 2022
