Bl0ckch41nnewsAtaques de Push Bombing en métodos de múltiple autenticación (MFA)

El push bombing es un ataque de fatiga MFA dirigido en el que un
atacante realiza múltiples intentos de inicio de sesión en el portal SSO del
objetivo o en aplicaciones y servicios corporativos expuestos públicamente.

El push bombing se utiliza con contraseñas robadas o
filtradas contra MFA tradicional (contraseña + segundo factor). Una vez que el atacante ha escrito el
primer factor, el nombre de usuario y la contraseña, sólo necesita
que el usuario acepte el segundo factor enviado a su teléfono (o correo) para acceder a los recursos de la víctima.

Este tipo de «bombardeo» funciona porque los usuarios acceden a muchas
aplicaciones diferentes y tienen que volver a autenticarse en aplicaciones
varias veces al día. Esta repetición crea memoria muscular que puede hacer que
los usuarios aprueben un mensaje push cualquiera. O, como implica
la palabra bomba, los atacantes envían solicitudes continuas. La frustración
exacerba la paciencia del usuario, lo que lo lleva a hacer clic en cualquier
mensaje recibido.

Para los intrusos avanzados que buscan persistencia, el siguiente paso es
cambiar las credenciales de la cuenta o los perfiles de MFA para una
apropiación de la cuenta como punto de partida para un movimiento lateral
hacia activos comerciales más interesantes.

A los atacantes les encanta explotar el push porque funciona
(Cisco
y
Uber fueron víctimas recientes de este tipo de ataques). Pero lo que atrae a los
atacantes a esta técnica es que es fácil. En muchos casos, no se requiere
malware ni infraestructura de phishing de intermediario (MiTM) para que
funcione.

Cómo funciona el ataque push bombing

Cuando un usuario activa la MFA en una cuenta, suele recibir un código o una
solicitud de autorización de algún tipo. El usuario introduce sus credenciales
de acceso. A continuación, el sistema envía una solicitud de autorización al
usuario para completar su inicio de sesión.

El código MFA o la solicitud de aprobación suelen llegar a través de algún
tipo de mensaje «push». Los usuarios pueden recibirlo de varias
maneras:

• SMS/texto
• Un dispositivo emergente
• Notificación de una aplicación
• Correo electrónico

Recibir esa notificación es una parte normal del inicio de sesión de la
autenticación multifactor. Es algo con lo que el usuario estaría
familiarizado.

Con el push bombing, los atacantes empiezan con las credenciales del
usuario. Pueden obtenerlas a través de phishing o de un volcado de contraseñas
de una gran violación de datos. Luego, intentan entrar muchas veces a la
cuenta. Esto envía al usuario legítimo varias notificaciones push, una
tras otra. Muchas personas cuestionan la recepción de un código inesperado que
no solicitaron. Pero cuando alguien es bombardeado con ellas, puede ser fácil
hacer clic por error para aprobar el acceso.

Push bombing es una forma de ataque de ingeniería social diseñado para:

• Confundir al usuario
• Desgastar al usuario
• Engañar al usuario para que apruebe la solicitud MFA para dar acceso al
  atacante.

Al principio, los ataques son simples contra un empleado para lograr engañarlo
rápidamente. Sin embargo, estos ataques suelen ser puntos de entrada para un
ataque dirigido contra el empleador de la víctima o hacia arriba en la cadena
de suministro hacia clientes empresariales más grandes. El ataque está
documentado en MITRE ATT&CK Framework como
T1621
(Generación de solicitud de autenticación multifactor) y generalmente se
ejecuta en cinco partes:

1. Reconocimiento: el atacante investiga el flujo de trabajo del
objetivo y los recursos expuestos públicamente.

2. Acceso a credenciales: el atacante adquiere las credenciales del
objetivo mediante phishing, robo de contraseñas o búsquedas en la la web.

3. Acceso inicial: el atacante inicia solicitudes de acceso a los
recursos expuestos de las víctimas, lo que activa repetidas notificaciones
push a la víctima con la intención de engañarla. A través de llamadas
falsas al servicio de asistencia de TI que dicen:
«Necesitamos que apruebe esa solicitud» o exacerbar al objetivo
para que apruebe el reconocimiento del segundo factor accidentalmente o por
frustración.

4. Movimiento lateral: el atacante pasa a un estado de intruso y, en
muchos casos, se mueve lateralmente a través del interior de la empresa hacia
activos más valiosos.

5. Impacto: el intruso detona cargas útiles de ransomware, extrae datos
o instala puertas traseras para agregarlas al grupo de propiedades del agente
de acceso inicial.

Cómo detener los ataques Push Bombing

Se pueden detener los ataques push bombing combinando la educación de
los usuarios y tecnologías MFA reforzadas.

La concientización de los usuarios sobre los ataques de ingeniería social, es
esencial para reducir la probabilidad de éxito de los atacantes. Sin embargo,
los trabajadores son personas. Para el personal que no pertenece a la
seguridad, esta ocupa un segundo lugar, o incluso más abajo, en la
clasificación de prioridades después de realizar su trabajo.

La educación para la concientización tiene límites, como lo demuestran los
informes anuales de phishing de KnowBe4: después de 12 meses de capacitación intensiva en phishing, el 5% de 9,5
millones de personas de 30.100 organizaciones todavía mordieron el anzuelo. Y
los resultados de este año reflejan informes anteriores.

Técnicas adaptativas de MFA

La experiencia del usuario es esencial para el éxito de los programas de MFA.
Imponer obstáculos draconianos genera descontento en los usuarios, lo que no
es bueno para los administradores ni para la gerencia de TI.

Adaptive MFA agrega inteligencia a los flujos de trabajo tradicionales
de MFA para combatir los indicadores anónimos. Tras la detección, la
plataforma MFA presenta ayudas a los usuarios y obliga a realizar pasos
adicionales en el flujo de trabajo de inicio de sesión. Éstas incluyen:

• Geolocalización de la solicitud de origen
• OTP en la aplicación para la entrada manual en el mensaje de servicio al que
  se accede
• Solicitar acciones de violación de la política de frecuencia e intervalo
  para frenar y bloquear a los bombarderos

Estas técnicas adaptativas aumentan la capacidad del usuario para proteger los
recursos de la empresa. Sin embargo, tienen límites. Por ejemplo, la
geolocalización de direcciones IP puede ser propensa a errores debido a
imprecisiones introducidas por VPN, TOR y la infraestructura móvil. En segundo
lugar, cualquier aceptación errónea, incluso después de los mensajes de
advertencia geográfica y OTP, resulta en el éxito del atacante.

Técnicas de MFA resistentes al phishing: el desarrollo más reciente
contra el push bombing es el MFA resistente al phishing. Esta
tecnología intenta eliminar las debilidades de los usuarios ante ataques
relacionados con el phishing. En este caso se utilizan técnicas de fijación
que vinculan a los usuarios, estaciones de trabajo y navegadores a sus
aplicaciones y servicios asignados. La MFA resistente al phishing suele
utilizar tokens de hardware como tarjetas inteligentes X.509 y llaves
USB o tokens de hardware FIDO2 para imposibilitar el acceso no
autorizado sin poseer los tokens.

MFA sin contraseña (passwordless): se libera a los usuarios de
crear o recordar cualquiera de las contraseñas de su lugar de trabajo elimina
el riesgo de phishing de contraseñas más grave. Se aumenta las apuestas al
eliminar las contraseñas, algo que sabes a favor de algo que eres.

Lo más interesante es que, si bien a los usuarios les encanta la MFA sin
contraseña, TI es el gran ganador. TI reduce inmediatamente los riesgos de
seguridad y detiene las llamadas al servicio de asistencia técnica para
contraseñas que consumen mucho tiempo. Sin mencionar que TI puede modernizar
la infraestructura más rápidamente sin la coordinación para compartir secretos
de los usuarios.

Fuente:
Doble Octupus
|
Beyond Trust

Source link