Both attacks bypassed older forms of multifactor authentication using a tactic called MFA prompt bombing that tricks users into acknowledging an MFA request. MFA bombing methods include:
\r\n- \r\n
- Sending a flurry of MFA requests, hoping the target finally accepts one to make the noise stop \r\n
- Sending one or two prompts per day, which often attracts less attention, but can still be successful \r\n
- Calling targets, pretending to be part of the company, and telling the targets they need to send an MFA request as part of a company process \r\n
Lapsus$ posted this statement on its Telegram channel: “No limit is placed on the amount of calls that can be made. Call the employee 100 times at 1 a.m. while he is trying to sleep, and he will more than likely accept it. Once the employee accepts the initial call, you can access the MFA enrollment portal and enroll another device... able to login to an employee’s Microsoft VPN from Germany and USA at the same time and they didn’t even seem to notice. Also was able to re-enroll MFA twice.”
Impact
\r\nMFA based on the FIDO2 framework is not susceptible to bombing because FIDO2 requires that authentication be performed on the device that is logging in. The Okta identity platform now allows users to FastPass authentication by using biometrics, with the option to authenticate by a push sent to a mobile device, a one-time passcode or a phone call. These last three options are prone to MFA bombing, although organizations allow them as a backup in case the biometrics device is not operational.
\r\nDXC perspective
\r\nThe Lapsus$ comments highlighted several important security gaps: time of access, the number of calls permitted to authenticate and geolocation of the user. Security controls based on any one of these parameters would have created alerts and/or denied access.
\r\nCreating in-depth defense by implementing a Privileged Access Management (PAM) solution such as CyberArk would have limited access after the threat actor breached the perimeter. In most if not all, of the Lapsus$ breaches, admin accounts were compromised. In March, Lapsus$ also allegedly attacked Globant, Nvidia, Okta and Samsung. Admin accounts are often not subject to the organization’s password policy and rotation requirements. PAM solutions focus on security controls on these privileged/high access accounts.
\r\nPAM tools also protect organizations from insider threats, and this control is becoming more critical as threat actors attempt to recruit disgruntled employees to obtain access. User security awareness training should address Okta usage. Specifically, an Okta request should not be approved unless the user is attempting to authenticate at that moment.
\r\n"}}">Rok temu niesławny rosyjski APT 29, znany również jako Cosy Bear, naruszył systemy kompilacji oprogramowania Orion do monitorowania sieci firmy SolarWinds, aby rozesłać backdoora do swoich 18 000 klientów z sektora publicznego i prywatnego. W marcu tego roku doszło do wycieku hakerów Lapsus$37 GB rzekomego kodu źródłowego Microsoftudla Bing, Cortana i innych projektów skradzionych z wewnętrznego serwera Microsoft Azure DevOps.
Oba ataki omijały starsze formy uwierzytelniania wieloskładnikowego przy użyciu taktyki zwanejNatychmiastowe bombardowanie MFAktóry nakłania użytkowników do potwierdzenia żądania usługi MFA. Metody bombardowania MFA obejmują:
- Wysyłanie lawiny żądań MFA, mając nadzieję, że cel w końcu je zaakceptuje, aby uciszyć hałas
- Wysyłanie jednego lub dwóch monitów dziennie, co często przyciąga mniej uwagi, ale nadal może być skuteczne
- Dzwonienie do celów, podszywanie się pod firmę i mówienie celom, że muszą wysłać żądanie MFA w ramach procesu firmowego
Lapsus $ opublikował to oświadczenie na swoim kanale Telegram: „Nie ma ograniczeń co do liczby połączeń, które można wykonać. Zadzwoń do pracownika 100 razy o 1 w nocy, kiedy próbuje spać, a najprawdopodobniej to zaakceptuje. Gdy pracownik zaakceptuje pierwsze połączenie, możesz uzyskać dostęp do portalu rejestracyjnego MFA i zarejestrować inne urządzenie... zdolne do jednoczesnego logowania się do Microsoft VPN pracownika z Niemiec i USA, a pracownik nawet tego nie zauważy. Udało mi się również dwukrotnie ponownie zarejestrować MFA”.
Uderzenie
MFA oparty na frameworku FIDO2 nie jest podatny na bombardowanie, ponieważ FIDO2 wymaga przeprowadzenia uwierzytelnienia na urządzeniu, które się loguje. Platforma tożsamości Okta pozwala teraz użytkownikom na uwierzytelnianie FastPass za pomocą biometrii, z opcją uwierzytelnienia przez push wysłane na urządzenie mobilne, jednorazowy kod dostępu lub połączenie telefoniczne. Te trzy ostatnie opcje są podatne na bombardowanie MFA, chociaż organizacje dopuszczają je jako kopię zapasową na wypadek, gdyby urządzenie biometryczne nie działało.
Perspektywa DXC
Komentarze Lapsus$ zwróciły uwagę na kilka ważnych luk w zabezpieczeniach: czas dostępu, liczbę połączeń dozwolonych w celu uwierzytelnienia oraz geolokalizację użytkownika. Kontrole bezpieczeństwa oparte na którymkolwiek z tych parametrów spowodowałyby utworzenie alertów i/lub odmowę dostępu.
Tworzenie głębokiej obrony poprzez wdrożenie aRozwiązanie Privileged Access Management (PAM), takie jak CyberArkmiałby ograniczony dostęp po tym, jak atakujący naruszy granicę. W przypadku większości, jeśli nie wszystkich, naruszeń Lapsus$, konta administratorów zostały naruszone. W marcu Lapsus$ rzekomo zaatakował również Globanta, Nvidię, Oktę i Samsunga. Konta administratorów często nie podlegają zasadom organizacji dotyczącym haseł ani wymogom dotyczącym rotacji. Rozwiązania PAM koncentrują się na kontrolach bezpieczeństwa na tych kontach uprzywilejowanych/o wysokim dostępie.
Narzędzia PAM chronią również organizacje przed zagrożeniami wewnętrznymi, a kontrola ta staje się coraz ważniejsza, ponieważ cyberprzestępcy próbują rekrutować niezadowolonych pracowników w celu uzyskania dostępu. Szkolenie w zakresie świadomości bezpieczeństwa użytkowników powinno dotyczyć korzystania z Okta. W szczególności żądanie Okta nie powinno zostać zatwierdzone, chyba że użytkownik próbuje się w tym momencie uwierzytelnić.
