Microsoft detalha como a campanha de phishing ignorou a MFA

Microsoft detalha como a campanha de phishing ignorou a MFA. Phishing roubou senhas, sequestrou sessões de login e pulou o processo de autenticação MFA.

Uma campanha de phishing em grande escala que usou sites de phishing do tipo adversary-in-the-middle (AiTM) roubou senhas, sequestrou a sessão de login de um usuário e ignorou o processo de autenticação, mesmo que o usuário tivesse ativado a autenticação multifator (MFA). Os invasores usaram as credenciais roubadas e os cookies de sessão para acessar as caixas de correio dos usuários afetados e realizar campanhas de comprometimento de e-mail comercial (BEC) contra outros alvos. Com base em nossos dados de ameaças, a campanha de phishing AiTM tentou atingir mais de 10.000 organizações desde setembro de 2021.

Diagrama contendo ícones e setas que ilustram a sequência de etapas em uma campanha de phishing AiTM.
Visão geral da campanha de phishing AiTM e BEC subsequente (fonte Microsoft)

O phishing continua sendo uma das técnicas mais comuns que os invasores usam em suas tentativas de obter acesso inicial às organizações. De acordo com o Relatório de Defesa Digital da Microsoft de 2021 , os relatórios de ataques de phishing dobraram em 2020, e o phishing é o tipo mais comum de e-mail malicioso observado em nossos sinais de ameaça. A MFA fornece uma camada de segurança adicional contra roubo de credenciais, e espera-se que mais organizações a adotem, especialmente em países e regiões onde até mesmo os governos a obrigam . Infelizmente, os invasores também estão encontrando novas maneiras de contornar essa medida de segurança. 

No phishing AiTM, os invasores implantam um servidor proxy entre um usuário-alvo e o site que o usuário deseja visitar (ou seja, o site que o invasor deseja representar). Essa configuração permite que o invasor roube e intercepte a senha do alvo e o cookie de sessão que comprova sua sessão contínua e autenticada com o site. Observe que isso não é uma vulnerabilidade no MFA; como o phishing do AiTM rouba o cookie da sessão, o invasor é autenticado em uma sessão em nome do usuário, independentemente do método de login que este último usa.

A campanha de phishing AiTM tem como alvo mais de 10.000 organizações desde setembro de 2021, de acordo com a Microsoft, que detalhou a ameaça em um novo  blog . Em um exemplo, o invasor enviou e-mails incluindo um anexo de arquivo HTML para vários destinatários em diferentes organizações, informando que eles tinham uma mensagem de voz.

Os invasores usaram as credenciais roubadas e os cookies de sessão para acessar as caixas de correio dos usuários afetados e realizar campanhas de comprometimento de email comercial contra outros alvos, de acordo com a equipe de pesquisa do 365 Defender da Microsoft.

Formando a base de um grande número de incidentes cibernéticos, o phishing é “uma das técnicas mais comuns” usadas pelos invasores para obter acesso inicial às organizações, disse a Microsoft, citando números de seu  Relatório de Defesa Digital da Microsoft de 2021 , que mostrou que os ataques de phishing dobraram em 2020.

Embora a MFA esteja sendo usada por um número crescente de empresas para aumentar a segurança, a Microsoft alerta que ela não é infalível. “Infelizmente, os invasores também estão encontrando novas maneiras de contornar essa medida de segurança”, disse a equipe de pesquisa do 365 Defender.

O ataque mais recente faz com que os adversários implantem um servidor proxy entre um usuário alvo e um site personificado. Isso permite que o invasor intercepte a senha do usuário e o cookie de sessão que comprova sua sessão contínua e autenticada com o site. “Como o phishing do AiTM rouba o cookie da sessão, o invasor é autenticado em uma sessão em nome do usuário, independentemente do método de login usado por ele”, explicou a Microsoft.

É “interessante” que os invasores estejam aproveitando as técnicas de phishing para coletar cookies de sessão, bem como credenciais, disse o pesquisador de segurança independente Sean Wright. “Esses ataques mostram a importância de controles de segurança bem estabelecidos, juntamente com recursos como MFA e comunicações criptografadas, como HTTPS”.

Wright aconselha o uso de tokens de segurança baseados em FIDO sempre que possível “já que eles têm um histórico comprovado na prevenção de tentativas de phishing”.

Além disso, a Microsoft sugere que as organizações complementem a MFA com políticas de acesso condicional. Isso vê as solicitações de entrada avaliadas usando sinais adicionais orientados por identidade, como associação de usuário ou grupo, informações de localização de IP e status do dispositivo.

Erich Kron, defensor de conscientização de segurança da  KnowBe4 , aconselhou as organizações a treinar funcionários sobre como identificar e relatar phishing e testá-los regularmente com ataques de phishing simulados. Além disso, educar os usuários sobre como identificar páginas de login falsas “reduzirá bastante o risco de expor as credenciais e os cookies de sessão”.

Adversary-in-the-Middle

Segundo o Mitre, o ataque Adversary-in-the-Middle (AiTM), “adversário no meio” em tradução literal, os adversários podem tentar se posicionar entre dois ou mais dispositivos em rede para dar suporte a comportamentos subsequentes, como Network Sniffing ou Transmitted Data Manipulation. Ao abusar de recursos de protocolos de rede comuns que podem determinar o fluxo de tráfego de rede (por exemplo, ARP, DNS, LLMNR, etc.), os adversários podem forçar um dispositivo a se comunicar por meio de um sistema controlado pelo adversário para que possam coletar informações ou executar ações adicionais. 
Por exemplo, os adversários podem manipular as configurações de DNS da vítima para permitir outras atividades maliciosas, como impedir/redirecionar usuários de acessar sites legítimos e/ou enviar malware adicional. Os ataques de downgrade também podem ser usados ​​para estabelecer uma posição AiTM, como negociar uma versão menos segura, obsoleta ou mais fraca do protocolo de comunicação (SSL/TLS) ou algoritmo de criptografia.
Os adversários também podem aproveitar a posição do AiTM para tentar monitorar e/ou modificar o tráfego, como na Transmitted Data Manipulation . Os adversários podem configurar uma posição semelhante ao AiTM para evitar que o tráfego flua para o destino apropriado, potencialmente para prejudicar as defesas (Impair Defenses) e/ou em apoio a um Network Denial of Service

Exemplos de procedimentos

EU IRIA Nome Descrição
S0281 Enquanto O Dok faz proxy do tráfego da Web para monitorar e alterar potencialmente o tráfego HTTP(S) da vítima. [8] [9]
G0094 Kimsuky Kimsuky usou versões modificadas do PHProxy para examinar o tráfego da web entre a vítima e o site acessado. [10]

Mitigações

EU IRIA Mitigação Descrição
M1042 Desabilitar ou remover recurso ou programa Desative os protocolos de rede herdados que podem ser usados ​​para interceptar o tráfego de rede, se aplicável, especialmente aqueles que não são necessários em um ambiente.
M1041 Criptografar informações confidenciais Certifique-se de que todo o tráfego com fio e/ou sem fio seja criptografado adequadamente. Use as práticas recomendadas para protocolos de autenticação, como Kerberos, e garanta que o tráfego da Web que possa conter credenciais seja protegido por SSL/TLS.
M1037 Filtrar tráfego de rede Use dispositivos de rede e software de segurança baseado em host para bloquear o tráfego de rede que não é necessário no ambiente, como protocolos legados que podem ser aproveitados para condições de AiTM.
M1035 Limitar o acesso ao recurso pela rede Limite o acesso à infraestrutura de rede e recursos que podem ser usados ​​para remodelar o tráfego ou produzir condições AiTM.
M1031 Prevenção de intrusão de rede Os sistemas de detecção e prevenção de intrusão de rede que podem identificar padrões de tráfego indicativos de atividade do AiTM podem ser usados ​​para mitigar a atividade no nível da rede.
M1030 Segmentação de rede A segmentação de rede pode ser usada para isolar componentes de infraestrutura que não exigem amplo acesso à rede. Isso pode mitigar, ou pelo menos aliviar, o escopo da atividade do AiTM.
M1017 Treinamento de usuário Treine os usuários para que desconfiem de erros de certificado. Os adversários podem usar seus próprios certificados na tentativa de interceptar o tráfego HTTPS. Erros de certificado podem surgir quando o certificado do aplicativo não corresponde ao esperado pelo host.

Detecção

EU IRIA Fonte de dados Componente de dados Detecta
DS0015 Registro do aplicativo Conteúdo do registro do aplicativo Monitore os logs de aplicativos quanto a alterações nas configurações e outros eventos associados a protocolos de rede e outros serviços comumente abusados ​​pelo AiTM. [11]
DS0029 Tráfego de rede Conteúdo de tráfego de rede Monitore o tráfego de rede em busca de anomalias associadas ao comportamento conhecido do AiTM.
    Fluxo de tráfego de rede Monitore o tráfego de rede originado de dispositivos de hardware desconhecidos/inesperados. Metadados de tráfego de rede local (como endereçamento MAC de origem), bem como o uso de protocolos de gerenciamento de rede, como DHCP, podem ser úteis na identificação de hardware.
DS0019 Serviço Criação de serviço Monitore serviços/daemons recém-construídos por meio de logs de eventos do Windows para IDs de evento 4697 e 7045.
DS0024 Registro do Windows Modificação da chave de registro do Windows

Monitore HKLM\Software\Policies\Microsoft\Windows NT\DNSClient para alterações no valor DWORD “EnableMulticast”. Um valor de “0” indica que o LLMNR está desabilitado.

Fonte: Information Security Magazine por  & Mitre & Microsoft 

Veja também:

 

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Microsoft detalha como a campanha de phishing ignorou a MFA – Neotel Segurança Digital

Deixe sua opinião!