Waarom uw tweede factor u niet redt

Cyberbeveiliging
Waarom uw tweede factor u niet redt

Multi-factor authenticatie (MFA) moest een kritiek gat in de identiteitsbeveiliging dichten. Het betekende dat, zelfs als een aanvaller over de accountgegevens beschikte, hij niet kon inloggen zonder de tweede factor. Hoewel die logica klopte, zijn aanvallers er nu achter gekomen dat ze de tweede factor niet hoeven te stelen: ze hebben alleen de gebruiker nodig om deze over te dragen.

Als uw personeel zich authenticeert met push-gebaseerde MFA, is deze aanval vandaag de dag een levende bedreiging voor uw organisatie. Tools als Specops Secure Access zijn specifiek gebouwd om dat gat te dichten, maar voordat we aan de oplossing beginnen, is het de moeite waard om te begrijpen hoe deze techniek werkt.

Hoe MFA-promptbombardementen werken

De aanval vereist drie sleutelelementen om te werken:

  • Geldige accountgegevens, meestal afkomstig van gestolen wachtwoorddumps op het dark web
  • Een inlogportaal dat gebruik maakt van push-gebaseerde MFA (zoals een VPN, Microsoft 365, Okta of Duo)
  • Een slachtoffer dat elke keer dat de aanvaller probeert in te loggen, wordt gewaarschuwd

Aanvallers activeren herhaaldelijk de prompt, in een poging het doelwit te misleiden of uit te putten om het verzoek goed te keuren. Soms combineren aanvallers snelle bombardementen met een vising-oproep die doet alsof ze van de IT-afdeling komen, waarbij ze proberen het doelwit sociaal te manipuleren. Het gevaar is dat deze methoden maar één keer hoeven te werken.

Als de prompt wordt goedgekeurd, wordt de aanvaller ingelogd als die gebruiker. Beveiligingssystemen worden doorgaans niet gewaarschuwd, omdat de login volkomen legitiem lijkt.

De Cisco-inbreuk

De Cisco-inbreuk uit 2022 is een belangrijk voorbeeld van hoe effectief deze techniek is tegen zelfs volwassen beveiligingsprogramma’s. Een aanvaller die gelinkt is aan de Yanluowang-ransomwaregroep heeft het persoonlijke Google-account van een Cisco-medewerker gehackt, waarmee in de browser opgeslagen inloggegevens werden gesynchroniseerd, waaronder het Cisco VPN-wachtwoord van de medewerker.

Van daaruit heeft de aanvaller MFA-prompts naar de telefoon van de medewerker gestuurd. Dat werkte aanvankelijk niet, dus begonnen ze vishing-oproepen te gebruiken die zich voordeden als vertrouwde ondersteuningsorganisaties, met verschillende accenten spraken, en uiteindelijk de medewerker ervan overtuigden een pushmelding te accepteren.

Eenmaal geaccepteerd, had de aanvaller als medewerker VPN-toegang. Vervolgens schreven ze hun eigen apparaten in voor MFA om de persistentie te behouden, escaleerden ze naar beheerdersrechten, bereikten Citrix-servers en domeincontrollers en exfiltreerden ongeveer 2,8 GB aan gegevens voordat ze werden uitgezet. Het feit dat snelle bombardementen hebben gewerkt tegen een bedrijf als Cisco, dat verre van zwak is op het gebied van beveiliging, onderstreept hoe gevaarlijk en effectief de aanval is geworden.

Waarom push-MFA de risico’s niet uitsluit

Het probleem met push-gebaseerde MFA is dat gebruikers wordt gevraagd een login goed te keuren of te weigeren, terwijl er heel weinig verdere handelingen nodig zijn. Er is geen duidelijke indicatie waar het verzoek vandaan komt, welk apparaat wordt gebruikt en of de inlogpoging überhaupt door de gebruiker is geïnitieerd. Op zichzelf zou dat misschien wel te doen zijn. Maar wanneer prompts herhaaldelijk binnenkomen, is het gemakkelijk om aan te nemen dat er iets misgaat in plaats van het als een potentiële aanval te herkennen.

Als dat gepaard gaat met een goed getimed telefoontje van iemand die zich voordoet als IT-ondersteuning, wordt de situatie nog moeilijker in te schatten. Op dat moment handelt de gebruiker niet onzorgvuldig, maar reageert hij op een scenario dat is ontworpen om routinematig en legitiem aan te voelen, waarbij gebruik wordt gemaakt van de inloggegevens die de aanvaller al heeft.

Drie manieren waarop organisaties prompte bombardementen kunnen voorkomen

1. Gebruik vermoeidheids- en phishing-bestendige MFA-factoren

Pushmeldingen zijn de zwakste veel voorkomende vorm van MFA. Phishing-resistente factoren zoals FIDO2-beveiligingssleutels, hardwaretokens zoals YubiKey of nummermatchende codes van authenticator-apps zijn moeilijker te misbruiken.

Specops Secure Access ondersteunt meer dan 15 identiteitsproviders en bevat deze vermoeidheidsbestendige opties voor Windows-aanmelding, RDP en VPN-verbindingen, zodat organisaties push-only MFA voor toegangspunten met een hoog risico kunnen achterwege laten.

2. Blokkeer gecompromitteerde wachtwoorden bij de bron

Prompt bombarderen is alleen mogelijk als de aanvaller al over een geldig wachtwoord beschikt. Door Active Directory (AD) voortdurend te scannen op een live database met gelekte wachtwoorden en een reset te forceren wanneer er een match verschijnt, wordt de brandstof voor de aanval weggenomen. Als u vertrouwt op het standaard AD-wachtwoordbeleid, worden hergebruikte, incrementele of geschonden wachtwoorden niet onderschept. Als u niet weet waar u vandaag staat: Specops Password Auditor is een gratis, alleen-lezen scan van uw AD die kwetsbaarheden zoals gecompromitteerde wachtwoorden of inactieve beheerdersaccounts signaleert.

3. Voeg risicosignalen toe aan de login

Voorwaardelijk toegangsbeleid dat rekening houdt met geografie, apparaatpositie en inlogtijden kan de authenticatie blokkeren of intensiveren voordat er ooit een prompt naar de telefoon van de gebruiker wordt verzonden. Dit vermindert de afhankelijkheid van gebruikersgedrag alleen en introduceert realtime context om verdachte logins te stoppen voordat deze escaleren in een succesvolle accountcompromis.

MFB is nog steeds van belang

Prompt-bombardementen op de MFA zijn geen reden om afstand te doen van de MFA, maar benadrukken wel waar sommige factoren tekortschieten. Wanneer goedkeuringsverzoeken herhaaldelijk kunnen worden geactiveerd zonder betekenisvolle context, wordt de controle gemakkelijker te beïnvloeden dan bedoeld.

Als push nog steeds uw standaard tweede factor is, is het de moeite waard om die beslissing te herzien. Nummermatching of phishing-bestendige methoden versterken de MFA-methode zelf, terwijl het scannen op gecompromitteerde wachtwoorden het risico beperkt dat aanvallers de eerste authenticatiestap bezitten. Als u uw identiteitsbeveiliging wilt uitbreiden met robuustere MFA, neem dan contact op met Specops.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

CERT-In verplicht 12 uur durende patches voor internetgerelateerde fouten te midden van AI-ondersteunde aanvallen

Iraanse hackers implementeren MiniFast en MiniJunk V2 via phishing en SEO-vergiftiging

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]