theNet by CLOUDFLARE

Ignorar a autenticação multifator

Técnicas avançadas que simulam o comportamento do usuário

Novos ataques cibernéticos estão violando a segurança da MFA

A autenticação multifator, ou MFA, tem sido a base do gerenciamento de identidade e acesso. Ao exigir que os usuários complementem as combinações convencionais de nome de usuário/senha com fatores de autenticação adicionais, de impressões digitais a senhas únicas e chaves físicas, as organizações podem proteger melhor suas redes e dados contra ataques que usam credenciais roubadas.

No entanto, os invasores estão encontrando novas maneiras de contornar a MFA.A Microsoft detectou recentemente uma campanha de phishing que visava mais de 10 mil organizações usando técnicas de ataque on-path.Os invasores usaram sites de proxy reverso para simular uma página de login fraudulenta do Microsoft 365, a partir da qual podiam interceptar senhas e cookies de sessão dos usuários, permitindo que eles contornassem as medidas de MFA e obtivessem acesso a várias contas de email.

Depois que os invasores violaram contas de usuários legítimos, eles criaram regras de caixa de entrada que lhes permitiram realizar ataques direcionados de comprometimento de e-mail corporativo (BEC) a contatos inocentes e manter o acesso às contas, mesmo que os usuários alterassem suas senhas posteriormente.

Este ataque serviu como alerta para as organizações que tinham a MFA implantada. Afinal, as medidas de MFA são projetadas para verificar a identidade do usuário, ajudando a provar que funcionários, prestadores de serviços, fornecedores e outras partes autorizadas são quem dizem ser antes de conceder acesso a informações e sistemas confidenciais. Quando os invasores conseguem se passar por usuários legítimos, a porta está aberta.

Mas a MFA não é o elo fraco, nem as organizações devem abandoná-la por métodos menos robustos de gerenciamento de identidade e acesso. Em vez disso, proteger usuários e dados de ataques cibernéticos avançados requer uma estratégia de segurança Zero Trust abrangente, que usa medidas de autenticação fortes para verificar e monitorar continuamente todas as contas, aplicativos e endpoints em uma rede corporativa.


Como os ataques contornam as medidas de segurança cibernética convencionais

Os ataques on-path não são a única abordagem que os invasores usaram recentemente para comprometer a MFA.O FBI e a CISA relataram um ataque cibernético russo que usou um ataque de senha de força bruta para obter acesso a uma conta inativa em uma organização não governamental.Depois que o invasor conseguiu entrar na conta, usou uma vulnerabilidade chamada “PrintNightmare” para executar o código que dava privilégios de sistema e ignorava os controles de MFA padrão.

Em outras circunstâncias, a MFA foi comprometida devido a erro humano. Depois que a Syracuse University implementou a MFA em seus sistemas de e-mail internos, os invasores tentaram enviar spam para alunos e funcionários com um ataque chamado “MFA fatigue". Os invasores usaram phishing e outros métodos para obter acesso às credenciais de e-mail e, em seguida, enviaram várias solicitações de MFA aos dispositivos do usuário esperando que o usuário ficasse muito irritado com as solicitações para negá-las. Depois que um usuário aprova uma solicitação de autorização (mesmo que seja apenas para silenciar o telefone), o invasor obteve mais acesso aos recursos e contas da universidade.

Embora os invasores continuem a encontrar novas maneiras de comprometer a MFA, isso não indica uma fraqueza nos próprios protocolos da MFA. Pelo contrário: de acordo com a vice-assessora de segurança nacional para tecnologia cibernética e emergente, Anne Neuberger, o uso da MFA pode impedir até 90% das tentativas de ataque cibernético. É importante lembrar que os ataques cibernéticos são complexos, os invasores não visam simplesmente a MFA para violar contas, mas sim, como parte de uma cadeia de ataques, que também pode envolver phishing, malware, adivinhação de senha por força bruta, exploração de vulnerabilidades não corrigidas, credenciais roubadas , ou uma combinação de outras táticas.


O Zero Trust ajuda a prevenir a exploração da MFA

Confiar em uma única tática de segurança não protegerá uma organização dos ataques cada vez mais sofisticados. Assim como os invasores contam com várias táticas para acessar contas confidenciais, as organizações precisam de uma estratégia de segurança multifacetada para proteger seus usuários e dados.

O Zero Trust é um princípio fundamental da segurança cibernética moderna que inerentemente desconfia de qualquer usuário que tente obter acesso aos recursos de uma organização. Isso torna mais difícil para os invasores, que existem fora ou dentro de uma organização, violar uma rede ou conta.

Na prática, uma plataforma Zero Trust permite que as organizações protejam suas redes por meio de vários métodos, incluindo:

  • Autenticação multifator: a MFA pode ser implementada usando senhas únicas, notificações push, biometria do usuário (por exemplo,impressão digital ou reconhecimento facial), chaves de segurança ou outros métodos para verificar a identidade do usuário e do dispositivo

  • Monitoramento e validação contínuos: usuários e dispositivos devem ser reautenticados continuamente, tornando difícil para os invasores obter acesso consistente a uma rede, mesmo que estejam usando credenciais roubadas

  • Acesso com menor privilégio: os usuários recebem acesso apenas aos recursos que precisam usar, em vez de acesso a toda a rede

  • Controle de acesso de dispositivos: os dispositivos que se conectam à rede devem ser autorizados e monitorados quanto a sinais de atividades suspeitas

  • Prevenção do movimento lateral: a microssegmentação ajuda a evitar o movimento lateral, restringindo o acesso a áreas específicas da rede

Com uma estratégia Zero Trust, os ataques baseados em MFA têm muito menos probabilidade de sucesso. Mesmo que um invasor consiga acessar uma conta de usuário, ele não terá acesso irrestrito a toda a rede, nem poderá se mover lateralmente sem reautenticar continuamente a identidade do usuário e do dispositivo.


Evite ataques de MFA com a Cloudflare

O Cloudflare Zero Trust ajuda a proteger redes corporativas e usuários contra ataques cibernéticos sofisticados, mesmo aqueles que tentam explorar medidas de MFA. A plataforma Zero Trust consolidada da Cloudflare torna simples para as organizações impor controles consistentes de acesso com menor privilégio a aplicativos em nuvem, no local e em SaaS, impedindo que invasores violem sistemas e dados confidenciais e se movam lateralmente dentro das organizações.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.


Principais conclusões

Após ler este artigo, você entenderá:

  • Como os invasores utilizam táticas de phishing para contornar a MFA

  • Como o comprometimento da MFA abre as portas para o roubo de dados e outros ataques

  • Principais estratégias para evitar a exploração da MFA


Recursos relacionados


Saiba mais sobre esse assunto

A MFA é uma parte essencial de uma estratégia robusta de gerenciamento de identidade e acesso. Para descobrir como a MFA se encaixa em um modelo de segurança Zero Trust mais amplo, obtenha o resumo da solução, How strong authentication helps stop phishing attacks.

Receba um resumo mensal das informações mais populares da internet.