Pesquisadores da empresa de resposta a incidentes na nuvem Mitiga descobriram que hackers estão aproveitando as fraquezas inerentes à autenticação multifator (MFA) do 365, Microsoft Authenticator e Microsoft 365 Identity Protection. Os ataques combinam táticas de spear phishing com métodos man-in-the-middle — ou adversary-in-the-middle (AiTM), como também são conhecidas, uma forma de ciberataque em que criminosos agem como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo — para comprometer contas de e-mail comercial (BEC).
Segundo a Mitiga, os invasores basicamente sequestram transações comerciais enviando um e-mail da conta para o destinatário alvo com uma solicitação para alterar a conta bancária de recebimento. De acordo com os pesquisadores da empresa, a campanha é generalizada e tem como alvo grandes transações de vários milhões de dólares.
O ataque começou com um e-mail de phishing bem elaborado mascarado como uma notificação da DocuSign, serviço de assinatura de documentos eletrônicos baseado em nuvem amplamente utilizado. O e-mail foi criado para o executivo de negócios visado, o que sugere que os cibercriminosos fizeram um trabalho anterior de reconhecimento. O link no e-mail de phishing leva a um site controlado por eles que redireciona para uma página de logon único do Microsoft 365.
Essa página de login falsa usa a técnica AitM, na qual os invasores executam um proxy reverso para solicitações de autenticação entre a vítima e o site real do Microsoft 365. A vítima tem a mesma experiência que teria na página de login real da Microsoft, além da solicitação de autenticação multifator (MFA) legítima que deve ser concluída usando o aplicativo autenticador. Depois que o processo de autenticação é concluído, o serviço da Microsoft cria um token de sessão sinalizando em seus sistemas que atendeu à MFA. A diferença é que, como os invasores atuaram como proxy, agora eles também têm esse token de sessão e podem usá-lo para acessar a conta.
Essa técnica de proxy reverso não é nova e tem sido usada para contornar a autenticação multifator há vários anos. Na verdade, estruturas de ataque de código aberto fáceis de usar foram criadas para essa finalidade.
De acordo com os logs analisados pela Mitiga, os invasores usaram a sessão ativa para adicionar um aplicativo autenticador secundário à conta comprometida, dando-lhes persistência mesmo que esse token de sessão expirasse posteriormente. Como eles já interceptavam as credenciais do usuário, agora eles tinham seu próprio método para gerar códigos MFA.
“Adicionar um dispositivo MFA adicional a um usuário do Azure AD não requer nenhuma verificação adicional, como a reaprovação de MFA para a sessão”, disseram os pesquisadores em seu relatório. “Isso significa que o invasor pode adicionar um dispositivo MFA à conta da vítima mesmo uma semana inteira após a sessão ter sido roubada sem invocar nenhuma interação adicional do usuário, como solicitar novamente a aprovação do MFA.”
Veja isso
Perdas com golpes de BEC superam US$ 43 bi globalmente
Problema de MFA bloqueou acesso a recursos Microsoft
Os pesquisadores acreditam que esta é uma fraqueza de design no sistema de autenticação da Microsoft, porque, na opinião deles, ações sensíveis à segurança, como modificar opções de MFA, incluindo a adição de um novo dispositivo de MFA, devem levar a um novo desafio de autenticação. Na verdade, essa não é a única ação em que isso não acontece. De acordo com os pesquisadores, usar o recurso Privileged Identity Management (PIM) no Azure AD, que permite que os administradores elevem temporariamente seus privilégios, também não requer um novo desafio de autenticação.
Outra questão destacada pela Mitiga é que os usuários não têm a opção de configurar quando uma nova contestação de autenticação multifator acontece se considerarem o comportamento padrão insuficientemente rígido. O melhor que eles podem fazer é definir o tempo de expiração do token de sessão para o valor mais baixo possível para limitar a janela de tempo que o invasor tem, mas isso não é prático porque o invasor precisa de segundos para executar essa ação.
Nesse incidente, os invasores usaram o token de sessão de um endereço IP em Dubai, um local em que a vítima nunca esteve ou fez login anteriormente. Essa mudança de local também deve levar a um novo desafio de MFA.
“O Microsoft Identity Protection identificou alguns deles como logins arriscados”, disseram os pesquisadores. “No entanto, a menos que uma organização possa suportar alguns dos falsos positivos gerados pelo Identity Protection, o comportamento padrão é exigir uma nova contestação de MFA, que não é eficaz neste momento porque o invasor já tem o aplicativo Authenticator configurado.” Com informações da Mitiga e de agencias de notícias internacionais.