Los atacantes con mentalidad MFA continúan descubriendo …



Si bien MFA puede mejorar la postura de seguridad typical, no es una «solución milagrosa», y los ataques continúan.

A medida que los usuarios en línea se vuelven cada vez más conscientes y utilizan la autenticación multifactor (MFA), los atacantes están ideando nuevas formas de eludir la tecnología, y a menudo con gran éxito.

A principios de este mes, por ejemplo, la firma de seguridad Proofpoint informó sobre su divulgación de vulnerabilidades críticas en Microsoft WS-Trust que podrían usarse para eludir MFA en servicios en la nube que usan la tecnología, la principal de ellas, Microsoft 365. Un ataque podría haber permitido a un ciberdelincuente para utilizar las credenciales obtenidas de la suplantación de identidad y los volcados de credenciales para iniciar sesión en Business office 365, Azure y otros servicios de Microsoft, afirmó Proofpoint.

Estas vulnerabilidades son una forma de evitar la seguridad adicional proporcionada por MFA. Si bien los expertos en seguridad subrayan que MFA mejora la seguridad common de los usuarios en línea, las vulnerabilidades explotables y las malas decisiones de los usuarios pueden socavar esas protecciones.

«Cuando se trata de seguridad en la nube, MFA no es una solución milagrosa», dijo Or Safran, análisis senior de detección de amenazas en Proofpoint, en un análisis de las vulnerabilidades. «A medida que más organizaciones adopten la tecnología, los atacantes descubrirán y abusarán de más vulnerabilidades. Sin embargo, MFA puede mejorar la postura de seguridad common, especialmente cuando se combina con la visibilidad de amenazas centrada en las personas y los controles de acceso adaptativos».

A medida que más personas acceden a cuentas valiosas en línea, la autenticación de dos factores (2FA) y MFA se han vuelto más populares. En un informe de diciembre de 2019, la empresa de seguridad Duo Safety descubrió que la adopción de 2FA entre los usuarios casi se había duplicado en dos años, con un 53% de los encuestados que usaban 2FA para algunas de sus cuentas (en comparación con el 28% en 2017). Más de dos tercios de las personas más jóvenes, de 34 años o menos, usaron 2FA en algunas cuentas, mientras que solo un tercio de las personas de 65 años o más usaron la tecnología según el estudio.

Las vulnerabilidades críticas encontradas por Proofpoint son los últimos escenarios de explotación para atacar las tecnologías de seguridad cada vez más populares. El año pasado, el FBI advirtió que los ciberdelincuentes habían adoptado una variedad de medidas para solucionar o eludir MFA. En un ejemplo citado de 2019, un mistake de inyección de código en el sitio world-wide-web de una institución bancaria permitió a los atacantes ingresar «una cadena manipulada» en el campo multifactor, en lugar de un PIN, y omitir el segundo component, de acuerdo con el aviso del FBI.

Sin embargo, si bien tales omisiones técnicas no son raras, mucho más comunes son los esfuerzos de los atacantes para insertarse en el proceso de MFA y robar códigos de acceso o tokens de seguridad. Eludir la MFA a menudo se cut down a aprovechar a los usuarios crédulos, dice Roger Grimes, analista de defensa basada en datos de KnowBe4, una empresa de capacitación en seguridad.

«Los ataques generales que los spammers y phishers envían a menudo para obtener credenciales, MFA puede prevenir ese tipo de ataques», dice. «Pero cuando los atacantes saben que el usuario tiene MFA, a menudo resulta que no es una gran barrera y, en algunos casos, lo hace aún más fácil».

El tipo más común de ataque MFA es interceptar el código de acceso de un solo uso. Los ataques en tiempo real utilizan un proxy gentleman-in-the-center para obtener la contraseña de un solo uso que el usuario ingresa en lo que cree que es un sitio legítimo. En 2019, los investigadores de ciberseguridad lanzaron una herramienta, denominada Muraena, que permite aprovechar el segundo component. Un objetivo común es la tecnología ampliamente implementada para enviar contraseñas de un solo uso a través de mensajes de texto, una defensa tan rota que el Instituto Nacional de Estándares y Tecnología (NIST) advirtió contra su uso en mayo de 2016.

Otro enfoque común es robar el token de seguridad enviado al usuario para simplificar futuros inicios de sesión. Reutilizar el token puede permitir que un atacante acceda a la cuenta del usuario. Por último, los ataques técnicos al computer software, a menudo dirigidos al soporte para tecnologías de seguridad heredadas, pueden permitir ataques generalizados a los servicios protegidos por MFA.

«Desde nuestra perspectiva en el monitoreo de ataques por correo electrónico, nube e híbridos, el mayor aumento en la actividad de amenazas se ha relacionado con aplicaciones maliciosas de terceros que abusan de los tokens de OAuth, lo que Microsoft denomina &#39phishing por consentimiento&#39», dice Ryan Kalember, vicepresidente ejecutivo estrategia de ciberseguridad en Proofpoint.

Las mejores tecnologías en la actualidad para limitar los ataques son aquellas basadas en el último estándar Rapidly Identity Online (FIDO), FIDO2, que utiliza la identidad del dispositivo para fortalecer el proceso de autenticación contra atacantes remotos, y una variedad de tecnologías force que alertan al usuario sobre un registro registrado. dispositivo de cualquier intento de acceso y requiere que aprueben ese acceso.

«Hay muchas tonterías, pero también hay buenas soluciones y están desarrollando mejores soluciones», dice Grimes de KnowBe4. «Pero todo se puede piratear, por lo que además de eso, debe capacitar a sus usuarios finales para que reconozcan los ataques. El hecho de que tenga MFA no significa que no pueda ser pirateado».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading, MIT&#39s Know-how Evaluate, Well known Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial