تمثل المصادقة متعددة العوامل وسيلة دفاع قوية لمنع المتسللين من الاستيلاء على حسابك. ولكن، وفقًا لنتائج حديثة، يبدو أن مجموعتين – Lapsus$ وSolarWinds قد أحدثتا تغييرًا في طريقة عمل أسلوب MFA. في هذا المنشور، سنناقش كل ما يتعلق بهذا الأمر والأهم من ذلك أنه لا يتم إنشاء جميع أنواع المصادقة متعددة العوامل بشكل متساوٍ.
قليل من المصادقة متعددة العوامل (MFA)
إذا كنت قمت بتنشيط المصادقة متعددة العوامل على حسابك، فبالإضافة إلى اسم المستخدم وكلمة المرور اللذين قدمتهما أثناء تسجيل الدخول إلى حسابك، يتعين عليك أيضًا استخدام عامل إضافي. يمكن أن تكون هذه كلمة مرور لمرة واحدة يتم إرسالها إلى هاتفك الذكي أو على بريدك الإلكتروني، أو بصمة الإصبع، أو مفتاح أمان فعلي.
نماذج MFA - نظرة عامة
ليست كل MFAs تم إنشاؤها على قدم المساواة فيما يتعلق بالأمن. في الماضي القريب، نجح أطفال البرامج النصية مثل عصابة ابتزاز البيانات Lapsus$ وCozy Bear - الجهات الفاعلة في مجال التهديد وراء اختراق SolarWinds في كسر بعض حماية MFA. لقد استخدموا تقنية تُعرف باسم القصف الفوري MFA، وهو ما سنناقشه لاحقًا في هذه المدونة.
قبل أن نناقش ماهية القصف الفوري MFA، دعنا نتعمق أولاً في إطارين تعتمد عليهما المصادقة المتعددة العوامل –
ما هو القصف الفوري MFA؟
يُظهر مفهوم القصف الفوري MFA، في البداية، مدى ضعف كبار السن أشكال MFA هي.
مع العلم أن العديد من موفري MFA يسمحون لك بتلقي مكالمة هاتفية لتأكيد المصادقة أو إرسال إشعارات الدفع كعامل ثانٍ، فقد أصدرت الجهات الفاعلة في مجال التهديد في الماضي عمليات مصادقة متعددة العوامل أسئلة إلى جهاز المستخدم الشرعي. وبشكل أكثر تحديدًا، وفقًا لباحثي Mandiant، استخدم ممثل التهديد Cozy Bear، والذي يندرج أيضًا تحت أسماء APT29 وNobleium وDukes، هذه التقنية.
لكن كيف تمكن ممثلو التهديد من استغلال الضحايا للاستفادة منهم؟ حول المصادقة؟
كتب أحد أعضاء Lapsus$ على قناة Telegram الرسمية للمجموعة – "اتصل بالموظف 100 مرة في الساعة الواحدة صباحًا أثناء محاولته النوم، ومن المرجح أن يقبل ذلك. بمجرد قبول الموظف للمكالمة الأولية، يمكنك الوصول إلى بوابة تسجيل MFA وتسجيل جهاز آخر. يمكن يصير. علاوة على ذلك، يتم إرسال الطلبات إلى الجهاز ما لم يقبلها المستخدم، وبمجرد حدوث ذلك، يتمكن ممثل التهديد من الوصول إلى حساب المستخدم.
من المثير للدهشة (والمثير للقلق!) LapSus ادعى عضو $ أنه خدع أحد موظفي Microsoft. قال هذا العضو "قادر على تسجيل الدخول إلى Microsoft VPN لأحد الموظفين من ألمانيا والولايات المتحدة الأمريكية في نفس الوقت، ويبدو أنهم لم يلاحظوا ذلك. وتمكن أيضًا من إعادة تسجيل MFA مرتين."
قال مايك جروفر، وهو بائع أدوات اختراق الفريق الأحمر لمحترفي الأمن "في الأساس، هناك طريقة واحدة تتطلب العديد من الأشياء النماذج: خداع المستخدم للاعتراف بطلب MFA. لقد أصبح "قصف MFA" سريعًا وصفًا، لكن هذا يفتقد الأساليب الأكثر سرية. تتضمن الأساليب –
هل تريد بعض الأساليب التي تستخدمها العديد من الفرق الحمراء للتحايل على إجراءات حماية MFA على الحسابات؟ نعم، حتى الإصدارات "غير القابلة للتصيد الاحتيالي".
أنا أشاركها حتى تتمكن من التفكير فيما سيأتي، وكيف ستفعل عمليات التخفيف، وما إلى ذلك. لقد أصبح هذا الأمر شائعًا بشكل متزايد هذه الأيام.
1/n
— _MG_ (@_MG_) 23 مارس 2022
- استدعاء الضحية المستهدفة كجزء من الشركة ومطالبتهم بإرسال طلب MFA كجزء من عملية الشركة.
- إرسال مجموعة من طلبات MFA على أمل أن تستسلم الضحية المستهدفة أخيرًا وتقبل طلب إيقاف الضجيج.
- إرسال 1-2 يوميًا. هنا لا تزال فرص قبول طلب MFA جيدة.
هل تقنية تقليل MFA جديدة؟ ربما لا، وقد أشار أحد الباحثين إلى ذلك في إحدى التغريدات –
لم يخترع Lapsus$ "القصف الفوري لوزارة الخارجية" يرجى التوقف عن نسب الفضل إليهم تم إنشاءه.
لقد تم استخدام ناقل الهجوم هذا في هجمات العالم الحقيقي قبل عامين من ظهور lapsus
— جريج ليناريس (Laughing_Mantis) 25 مارس 2022
هل يعني هذا أن FIDO2 هو دليل كامل ضد الهجمات؟
إلى حد ما، نعم! وذلك لأنه في حالة FIDO2، تحتاج المصادقة إلى جهاز المستخدم. ترتبط تقنية MFA التي تستخدم نماذج FIDO2 بجهاز فعلي ولا يمكن أن يحدث ذلك لجهاز واحد يحاول منح الوصول إلى جهاز آخر.
ولكن ماذا لو أسقطت هاتفك وكسرته، وفقدت مفتاحك أو بطريقة أو بأخرى كسر قارئ بصمات الأصابع الموجود على جهاز الكمبيوتر المحمول الخاص بك؟ أو ماذا لو خدع أحد المتسللين مسؤول تكنولوجيا المعلومات لإعادة تعيين المصادقة متعددة العوامل ثم تسجيل جهاز جديد تمامًا؟ وأيضًا، ماذا لو لم يكن MFA المتوافق مع FIDO2 خيارًا في حالتك؟
وذلك عندما يأتي القصف الفوري لـ MFA في حالة نماذج FIDO2 للمصادقة متعددة العوامل -
- إذا يتم استخدام آليات إعادة تعيين النسخ الاحتياطي، وقد ينتهز المهاجمون هذه الفرصة.
- لنفترض أن الشركة التي تستخدم نماذج FIDO2 من MFA تعتمد على طرف ثالث لأداء الوظائف أو إدارة الشبكة. تستخدم هذه الشركة الخارجية نماذج MFA أضعف للوصول إلى شبكات الشركة. تم هزيمة الغرض الكامل من FIDO2 هنا.
تمكنت شركة Nobelium من تجاوز FIDO2 الموجود في كل مكان ولكن في هذه الحالة، تمكن المتسللون من استغلال Active Directory الخاص بالضحية حيث تمكنوا من استغلال أدوات قاعدة البيانات التي يستخدمها المسؤولون لإنشاء حسابات المستخدمين أو حذفها أو تعديلها أو تعيين امتيازات الترخيص لهم.
الختامنود إعادة حقيقة أنه مع قيام الجهات الفاعلة الضارة بتطوير طرق أقوى لإحباط اتفاقيات التمويل الأصغر، تصبح الأشكال أقوى يجب أن تستخدم. ومع ذلك، فإن استخدام MFA لا يزال خطوة أساسية نحو حماية حساباتك عبر الإنترنت. إذا أعجبك ما قرأته، قم بإبداء إعجابك بهذه المشاركة وشارك آراءك في قسم التعليقات أدناه.
قراءة: 0
