Microsoft detalha como a campanha de phishing ignorou a MFA. Phishing roubou senhas, sequestrou sessões de login e pulou o processo de autenticação MFA.
Uma campanha de phishing em grande escala que usou sites de phishing do tipo adversary-in-the-middle (AiTM) roubou senhas, sequestrou a sessão de login de um usuário e ignorou o processo de autenticação, mesmo que o usuário tivesse ativado a autenticação multifator (MFA). Os invasores usaram as credenciais roubadas e os cookies de sessão para acessar as caixas de correio dos usuários afetados e realizar campanhas de comprometimento de e-mail comercial (BEC) contra outros alvos. Com base em nossos dados de ameaças, a campanha de phishing AiTM tentou atingir mais de 10.000 organizações desde setembro de 2021.
Visão geral da campanha de phishing AiTM e BEC subsequente (fonte Microsoft)
O phishing continua sendo uma das técnicas mais comuns que os invasores usam em suas tentativas de obter acesso inicial às organizações. De acordo com o Relatório de Defesa Digital da Microsoft de 2021 , os relatórios de ataques de phishing dobraram em 2020, e o phishing é o tipo mais comum de e-mail malicioso observado em nossos sinais de ameaça. A MFA fornece uma camada de segurança adicional contra roubo de credenciais, e espera-se que mais organizações a adotem, especialmente em países e regiões onde até mesmo os governos a obrigam . Infelizmente, os invasores também estão encontrando novas maneiras de contornar essa medida de segurança.
No phishing AiTM, os invasores implantam um servidor proxy entre um usuário-alvo e o site que o usuário deseja visitar (ou seja, o site que o invasor deseja representar). Essa configuração permite que o invasor roube e intercepte a senha do alvo e o cookie de sessão que comprova sua sessão contínua e autenticada com o site. Observe que isso não é uma vulnerabilidade no MFA; como o phishing do AiTM rouba o cookie da sessão, o invasor é autenticado em uma sessão em nome do usuário, independentemente do método de login que este último usa.
A campanha de phishing AiTM tem como alvo mais de 10.000 organizações desde setembro de 2021, de acordo com a Microsoft, que detalhou a ameaça em um novo blog . Em um exemplo, o invasor enviou e-mails incluindo um anexo de arquivo HTML para vários destinatários em diferentes organizações, informando que eles tinham uma mensagem de voz.
Os invasores usaram as credenciais roubadas e os cookies de sessão para acessar as caixas de correio dos usuários afetados e realizar campanhas de comprometimento de email comercial contra outros alvos, de acordo com a equipe de pesquisa do 365 Defender da Microsoft.
Formando a base de um grande número de incidentes cibernéticos, o phishing é “uma das técnicas mais comuns” usadas pelos invasores para obter acesso inicial às organizações, disse a Microsoft, citando números de seu Relatório de Defesa Digital da Microsoft de 2021 , que mostrou que os ataques de phishing dobraram em 2020.
Embora a MFA esteja sendo usada por um número crescente de empresas para aumentar a segurança, a Microsoft alerta que ela não é infalível. “Infelizmente, os invasores também estão encontrando novas maneiras de contornar essa medida de segurança”, disse a equipe de pesquisa do 365 Defender.
O ataque mais recente faz com que os adversários implantem um servidor proxy entre um usuário alvo e um site personificado. Isso permite que o invasor intercepte a senha do usuário e o cookie de sessão que comprova sua sessão contínua e autenticada com o site. “Como o phishing do AiTM rouba o cookie da sessão, o invasor é autenticado em uma sessão em nome do usuário, independentemente do método de login usado por ele”, explicou a Microsoft.
É “interessante” que os invasores estejam aproveitando as técnicas de phishing para coletar cookies de sessão, bem como credenciais, disse o pesquisador de segurança independente Sean Wright. “Esses ataques mostram a importância de controles de segurança bem estabelecidos, juntamente com recursos como MFA e comunicações criptografadas, como HTTPS”.
Wright aconselha o uso de tokens de segurança baseados em FIDO sempre que possível “já que eles têm um histórico comprovado na prevenção de tentativas de phishing”.
Além disso, a Microsoft sugere que as organizações complementem a MFA com políticas de acesso condicional. Isso vê as solicitações de entrada avaliadas usando sinais adicionais orientados por identidade, como associação de usuário ou grupo, informações de localização de IP e status do dispositivo.
Erich Kron, defensor de conscientização de segurança da KnowBe4 , aconselhou as organizações a treinar funcionários sobre como identificar e relatar phishing e testá-los regularmente com ataques de phishing simulados. Além disso, educar os usuários sobre como identificar páginas de login falsas “reduzirá bastante o risco de expor as credenciais e os cookies de sessão”.
Adversary-in-the-Middle
Por exemplo, os adversários podem manipular as configurações de DNS da vítima para permitir outras atividades maliciosas, como impedir/redirecionar usuários de acessar sites legítimos e/ou enviar malware adicional. Os ataques de downgrade também podem ser usados para estabelecer uma posição AiTM, como negociar uma versão menos segura, obsoleta ou mais fraca do protocolo de comunicação (SSL/TLS) ou algoritmo de criptografia.
Os adversários também podem aproveitar a posição do AiTM para tentar monitorar e/ou modificar o tráfego, como na Transmitted Data Manipulation . Os adversários podem configurar uma posição semelhante ao AiTM para evitar que o tráfego flua para o destino apropriado, potencialmente para prejudicar as defesas (Impair Defenses) e/ou em apoio a um Network Denial of Service.
Exemplos de procedimentos
| EU IRIA | Nome | Descrição |
|---|---|---|
| S0281 | Enquanto | O Dok faz proxy do tráfego da Web para monitorar e alterar potencialmente o tráfego HTTP(S) da vítima. [8] [9] |
| G0094 | Kimsuky | Kimsuky usou versões modificadas do PHProxy para examinar o tráfego da web entre a vítima e o site acessado. [10] |
Mitigações
| EU IRIA | Mitigação | Descrição |
|---|---|---|
| M1042 | Desabilitar ou remover recurso ou programa | Desative os protocolos de rede herdados que podem ser usados para interceptar o tráfego de rede, se aplicável, especialmente aqueles que não são necessários em um ambiente. |
| M1041 | Criptografar informações confidenciais | Certifique-se de que todo o tráfego com fio e/ou sem fio seja criptografado adequadamente. Use as práticas recomendadas para protocolos de autenticação, como Kerberos, e garanta que o tráfego da Web que possa conter credenciais seja protegido por SSL/TLS. |
| M1037 | Filtrar tráfego de rede | Use dispositivos de rede e software de segurança baseado em host para bloquear o tráfego de rede que não é necessário no ambiente, como protocolos legados que podem ser aproveitados para condições de AiTM. |
| M1035 | Limitar o acesso ao recurso pela rede | Limite o acesso à infraestrutura de rede e recursos que podem ser usados para remodelar o tráfego ou produzir condições AiTM. |
| M1031 | Prevenção de intrusão de rede | Os sistemas de detecção e prevenção de intrusão de rede que podem identificar padrões de tráfego indicativos de atividade do AiTM podem ser usados para mitigar a atividade no nível da rede. |
| M1030 | Segmentação de rede | A segmentação de rede pode ser usada para isolar componentes de infraestrutura que não exigem amplo acesso à rede. Isso pode mitigar, ou pelo menos aliviar, o escopo da atividade do AiTM. |
| M1017 | Treinamento de usuário | Treine os usuários para que desconfiem de erros de certificado. Os adversários podem usar seus próprios certificados na tentativa de interceptar o tráfego HTTPS. Erros de certificado podem surgir quando o certificado do aplicativo não corresponde ao esperado pelo host. |
Detecção
| EU IRIA | Fonte de dados | Componente de dados | Detecta |
|---|---|---|---|
| DS0015 | Registro do aplicativo | Conteúdo do registro do aplicativo | Monitore os logs de aplicativos quanto a alterações nas configurações e outros eventos associados a protocolos de rede e outros serviços comumente abusados pelo AiTM. [11] |
| DS0029 | Tráfego de rede | Conteúdo de tráfego de rede | Monitore o tráfego de rede em busca de anomalias associadas ao comportamento conhecido do AiTM. |
| Fluxo de tráfego de rede | Monitore o tráfego de rede originado de dispositivos de hardware desconhecidos/inesperados. Metadados de tráfego de rede local (como endereçamento MAC de origem), bem como o uso de protocolos de gerenciamento de rede, como DHCP, podem ser úteis na identificação de hardware. | ||
| DS0019 | Serviço | Criação de serviço | Monitore serviços/daemons recém-construídos por meio de logs de eventos do Windows para IDs de evento 4697 e 7045. |
| DS0024 | Registro do Windows | Modificação da chave de registro do Windows |
Monitore HKLM\Software\Policies\Microsoft\Windows NT\DNSClient para alterações no valor DWORD “EnableMulticast”. Um valor de “0” indica que o LLMNR está desabilitado. |
Fonte: Information Security Magazine por Kate O'Flaherty
Veja também:
- Sophos nomeada líder no KuppingerCole Leadership Compass 2022
- Cloud viabiliza negócios, mas segurança ainda é um desafio para as empresas
- Cibersegurança: uma lista de tarefas para sua empresa
- Cloud computing: infraestrutura completa e segura
- Patch Tuesday julho é rico em problemas do Azure e do Windows
- Como encontrar novas primitivas de ataque no Microsoft Azure
- DoD testa programa de recompensas de bugs
- Como funcionam as avaliações do MITRE Engenuity ATT&CK
- Estudo mostra que soluções em SASE superam expectativas
- PMEs brasileiras estão na mira do ransomware aponta pesquisa da Arcserve
- FBI alerta sobre candidatos fake a vagas para trabalho remoto
- Google lança correção para novo zero-day crítico
Deixe sua opinião!