Multifaktor Authentication hakerlərin hesabınızı ələ keçirməsinə mane olmaq üçün güclü müdafiədir. Ancaq son tapıntıya görə, iki qrup - Lapsus$ və SolarWinds, XİN-in işində bir çuxur yaratdı. Bu yazıda biz bunun nə ilə bağlı olduğunu müzakirə edəcəyik və ən əsası Multifaktorlu Doğrulamanın bütün növləri bərabər yaradılmayıb.
Çoxfaktorlu Doğrulama (MFA) haqqında bir az
Əgər siz hesabınızda Multifactor Authentication aktivləşdirildikdə, hesabınıza daxil olarkən təqdim etdiyiniz istifadəçi adı və şifrə ilə yanaşı, əlavə faktordan da istifadə etməlisiniz. Bu, smartfonunuza və ya e-poçtunuza göndərilən birdəfəlik parol, barmaq izi və ya fiziki təhlükəsizlik açarı ola bilər.
XİN Formaları – Ümumi Baxış
Bütün XİN-lər belə deyil. təhlükəsizlik baxımından bərabər yaradılmışdır. Yaxın keçmişdə, Lapsus$ məlumat qəsb qrupu və Rahat Ayı kimi skript uşaqları - SolarWinds hackinin arxasında duran təhlükə aktyorları bəzi XİN müdafiəsini pozmaqda uğur qazandılar. Onlar MFA Prompt Bombing kimi tanınan bir texnikadan istifadə ediblər ki, biz bunu bir az sonra bu bloqda müzakirə edəcəyik.
XİN xəbərdarlığının bombalanmasının nə olduğunu müzakirə etməzdən əvvəl Multifaktorlu Doğrulamanın əsaslandığı 2 çərçivəyə nəzər salaq. –
MFA Prompt Bombing nədir?
MFA Prompt Bombing konsepsiyası başlanğıcda yaşlıların nə qədər zəif olduğunu göstərir. XİN-in formalarıdır.
Bir çox XİN provayderlərinin autentifikasiyanı təsdiqləmək və ya təkan bildirişləri göndərmək üçün sizə telefon zəngi qəbul etməsinə icazə verdiyini bilərək, keçmişdə təhdid edənlər bir neçə Multifaktorlu Authentication yenidən nəşr etmişlər. istifadəçinin qanuni cihazına axtarışlar. Daha dəqiq desək, Mandiant tədqiqatçılarına görə, APT29, Nobelium və Dukes adları altında olan təhdid aktyoru Cozy Bear bu texnikadan istifadə edib.
Bəs Təhdid Aktyorları Yer üzündə Qurbanları Toqquşmaq üçün Necə İpdi? Doğrulama haqqında?
Lapsus$ üzvü qrupun rəsmi Telegram kanalında yazıb – “İşçi yatmağa çalışarkən gecə saat 1-də ona 100 dəfə zəng et və o, çox güman ki, bunu qəbul edəcək. İşçi ilkin zəngi qəbul etdikdən sonra siz XİN-in qeydiyyat portalına daxil olub başqa cihazı qeydiyyatdan keçirə bilərsiniz.”
Gördüyümüz kimi, təhdid edən aktor zənglərin sayına heç bir məhdudiyyət qoyulmamasından istifadə edib. edilə bilərdi. Bundan əlavə, sorğular istifadəçi onları qəbul etməyənə qədər cihaza göndərilir və bu baş verdikdən sonra təhlükə aktyoru istifadəçi hesabına giriş əldə edir.
Təəccüblü (və qorxulu şəkildə!), LapSus $ üzvü Microsoft işçisini aldatdığını iddia etdi. Bu üzv “Eyni anda Almaniya və ABŞ-dan bir işçinin Microsoft VPN-inə daxil ola bilir və onlar bunu hiss etmirdilər. Həmçinin XİN-i iki dəfə yenidən qeydiyyatdan keçirə bildim.”
Təhlükəsizlik mütəxəssisləri üçün qırmızı komandanın haker alətlərinin satıcısı olan Mayk Qrover “əsas etibarilə bir çoxları tələb edən vahid üsuldur” dedi. formalar: istifadəçini XİN sorğusunu qəbul etmək üçün aldatmaq. “XİN-in bombalanması” tez bir zamanda təsvirçiyə çevrildi, lakin bu, daha gizli metodları əldən verir.” Metodlara daxildir –
Bir çox Qırmızı Komandaların XİN-in hesablardakı mühafizələrindən yayınmaq üçün istifadə etdiyi bəzi üsulları istəyirsiniz? Bəli, hətta “unfishable” versiyalar da var.
Mən paylaşıram ki, siz qarşıdan gələnlər, təsirləri necə azaldacağınız və s. haqqında düşünə biləsiniz. Bu günlərdə daha çox vəhşi təbiətdə görünür.
1/n
— _MG_ (@_MG_) 23 mart 2022-ci il
- Hədəf qurbanın çağırışının bir hissəsi kimi şirkət prosesinin bir hissəsi kimi XİN sorğusu göndərmələrini xahiş etmək.
- Hədəf qurbanın nəhayət səs-küyün dayandırılması tələbini qəbul etməsi və qəbul etməsi ümidi ilə XİN sorğusunun göndərilməsi.
- Gündə 1-2 göndəriş. Burada XİN-in sorğusunu qəbul etmək şansları hələ də yaxşıdır.
XİN-i sındırmaq texnikası yenidirmi? Yəqin ki, yox və bir tədqiqatçı bunu tvitlərin birində qeyd edib –
Lapsus$ 'XİN təcili bombalamasını' icad etməyib, xahiş edirəm onlara kredit verməyi dayandırın. onları yaratmaq kimi.
Bu hücum vektoru lapsusdan 2 il əvvəl real dünya hücumlarında istifadə edilmiş bir şeydir
— Greg Linares (@Laughing_Mantis) 25 mart 2022-ci il
Beləliklə, bu, FIDO2-nin Hücumlara Qarşı Tam Sübut olması deməkdirmi?
Müəyyən dərəcədə bəli! Bunun səbəbi, FIDO2 vəziyyətində identifikasiyanın istifadəçinin cihazına ehtiyacı olmasıdır. FIDO2 formalarından istifadə edən MFA fiziki maşına bağlıdır və başqa bir cihaza giriş icazəsi verməyə çalışan bir cihazla baş verə bilməz.
Ancaq telefonunuzu atıb onu sındırsanız, açarınızı itirsəniz və ya Laptopunuzda olan barmaq izi oxuyucusunu birtəhər sındırırsınız? Yaxud bir haker İT administratorunu aldadaraq, Multifaktor Authentication-ı sıfırlayır və sonra tamamilə yeni cihazı qeydiyyata alırsa? Həmçinin, əgər FIDO2-yə uyğun XİN sizin vəziyyətinizdə seçim deyilsə, necə?
Bu zaman XİN-in FIDO2 Multifaktorlu Doğrulama Formaları ilə bağlı təcili bombalama daxil olur –
- Əgər sıfırlama ehtiyat nüsxə mexanizmlərindən istifadə edildikdə, təcavüzkarlar bu fürsətdən istifadə edə bilərlər.
- Tutaq ki, XİN-in FIDO2 formalarından istifadə edən şirkət funksiyaları yerinə yetirmək və ya şəbəkəni idarə etmək üçün üçüncü tərəfə güvənir. Bu üçüncü tərəf şirkəti şirkətin şəbəkələrinə daxil olmaq üçün daha zəif XİN formalarından istifadə edir. FIDO2-nin bütün məqsədi burada məğlub oldu.
Nobelium hər yerdə əsaslanan FIDO2-dən yan keçə bildi, lakin bu halda hakerlər qurbanın Active Directory-dən istifadə edə bildilər. adminlərin istifadəçi hesablarını yaratmaq, silmək və ya dəyişdirmək və ya onlara avtorizasiya imtiyazları təyin etmək üçün istifadə etdiyi verilənlər bazası alətləri.
SondaBiz faktı bərpa etmək istərdik ki, zərərli aktorlar XİN-in qarşısını almaq üçün daha güclü yollar inkişaf etdirir, daha güclü formalar yaradır. istifadə edilməlidir. Bununla belə, XİN-dən istifadə hələ də onlayn hesablarınızın qorunması istiqamətində vacib bir addımdır. Oxuduqlarınızı bəyəndinizsə, bu postu bəyənin və aşağıdakı şərhlər bölməsində fikirlərinizi bölüşün.
oxumaq: 0
