Araştırmacılar, siber suçluların çok faktörlü kimlik doğrulamayı atlamak ve bulut hizmetlerine ve ağlarına erişmek için atıl Microsoft hesaplarından yararlandığını söylüyor.
Teknik oldu Mandiant siber güvenlik araştırmacıları tarafından detaylandırıldıRus dış istihbarat servisi (SVR) ile bağlantılı olduğuna yaygın olarak inanılan bir bilgisayar korsanlığı ve casusluk operasyonu olan APT29’un (Cozy Bear olarak da bilinir) saldırı kampanyalarında kullanıldığını iddia eden . Diğer saldırgan siber tehdit grupları aynı taktikleri kullanır.
Çok faktörlü kimlik doğrulama, bulut hizmetlerine ve ağın diğer bölümlerine karşı hesap devralmalarını ve siber saldırıları önlemek isteyen kuruluşlar için kullanışlı bir araçtır. Ancak, izinsiz girişlere karşı savunmada son derece etkili olsa da hatasız değildir ve siber saldırganlar bunu atlatmanın yollarını bulur.
Mandiant’a göre siber suçlular, Microsoft 365 ve diğer hesapların kontrolünü ele geçirmek için Microsoft Azure Active Directory ve diğer platformlara çok faktörlü kimlik doğrulama uygulamak için kendi kendine kayıt sürecinden yararlanıyor.
Çok faktörlü kimlik doğrulamayı yapılandırın
Kuruluşlar, kullanıcılara çok faktörlü kimlik doğrulamayı ilk kez sunduğunda, birçok platform, kullanıcıların bir sonraki oturum açışlarında çok faktörlü kimlik doğrulama cihazlarını (genellikle akıllı telefonlarını) kaydetmelerine olanak tanır. Bu süreç, hesaplarını güvence altına almak için mümkün olduğunca çok sayıda kullanıcıya MFA kimlik doğrulaması sağlamanın en etkili yolu olduğu için sıklıkla izlenir.
Ancak araştırmacıların belirttiği gibi, MFA kayıt işlemiyle ilgili ek bir doğrulama yoksa, bir hesabın kullanıcı adını ve şifresini bilen herkes, ilk kişi olduğu sürece çok faktörlü kimlik doğrulamaya başvurabilir. ve bilgisayar korsanları bu yeteneği hesaplara erişmek için kullanır.
Mandiant tarafından detaylandırılan bir vakada, APT29’a atfedilen saldırganlar, bilinmeyen yollarla elde ettikleri açıklanmayan posta kutularının bir listesine erişim sağladılar ve kurulmuş ancak hiç kullanılmamış bir hesabın şifresini tahmin etmeyi başardılar.
Azure Active Directory tarafından çok faktörlü kimlik doğrulamayı ayarlaması için kandırılan saldırgan, yalnızca hesabın denetimine sahip olmakla kalmadı, aynı zamanda çok faktörlü kimlik doğrulamasını sahip olduğu bir cihaza bağlayabildi ve kendisine erişim sağlamak için çok faktörlü kimlik doğrulamasından yararlandı. hesabı engellemek yerine.
Oradan saldırganlar, kurban kuruluşun VPN altyapısına erişmek için hesabı kullanabildiler. Araştırmacılar kurbanın adını veya bu saldırının amacını açıklamıyor.
Olay, çok faktörlü kimlik doğrulama uygulansa bile, siber suçluların atıl hesaplara erişmek ve bu hesaplardan yararlanmak için koruyucu özellikleri atlamasının mümkün olduğunu gösteriyor – bu bir süre fark edilmeyebilir.
Kullanıcı meşruiyetini doğrulayın
Bunu önlemek için kuruluşlara, hesabı kaydeden kullanıcının meşru olduğunu doğrulamak için ek güvenlik önlemleri almaları önerilir.
“Kuruluşlar, MFA cihaz kaydını yalnızca dahili ağ gibi güvenilir konumlarla veya güvenilir cihazlarla sınırlayabilir. Mandiant olay müdahale müdürü Douglas Bienstock, “Kuruluşlar MFA cihazlarının kaydını zorunlu kılmayı da seçebilir” dedi.
“Bunun yarattığı tavuk ve yumurta durumundan kaçınmak için yardım masası çalışanları, çalışanlara ilk katıldıklarında veya MFA cihazlarını kaybettiklerinde geçici erişim kartları verebilir. Geçiş, oturum açmak, MFA’yı atlamak ve yeni bir MFA cihazı kaydetmek için sınırlı bir süre için kullanılabilir” diye ekliyor.
Microsoft kısa süre önce kuruluşların MFA cihaz kaydıyla ilgili denetimler uygulamasına olanak tanıyan ve siber suçluların hesaplara erişmesini önlemeye yardımcı olabilecek bir özellik sundu. ZDNET, yorum için Microsoft ile iletişime geçti.
Hareketsiz hesaplar bu kampanyanın ana hedefi olduğundan, bilgi güvenliği ekiplerinin hangi hesapların hiç kullanılmadığını bilmeleri ve hatta kullanılmıyorlarsa bunları kaldırmaları da yararlı olabilir. Ayrıca, bu hesapların, siber saldırganlar tarafından kolayca keşfedilebilecek varsayılan parolalarla güvence altına alınmadığından emin olmak da önemlidir.
Kaynak : ZDNet.com