Les pirates Lapsus $ et SolarWinds utilisent tous deux la même vieille astuce pour contourner la MFA

Les pirates Lapsus $ et SolarWinds utilisent tous deux la même vieille astuce pour contourner la MFA

28 mars 2022 0 Par Le Caiman
Les pirates Lapsus $ et SolarWinds utilisent tous deux la même vieille astuce pour contourner la MFA

L’authentification multifacteur (MFA) est une défense de base parmi les plus efficaces pour empêcher les prises de contrôle de compte. En plus d’exiger que les utilisateurs fournissent un nom d’utilisateur et un mot de passe, MFA garantit qu’ils doivent également utiliser un facteur supplémentaire – qu’il s’agisse d’une empreinte digitale, d’une clé de sécurité physique ou d’un mot de passe à usage unique – avant de pouvoir accéder à un compte. Rien dans cet article ne doit être interprété comme disant que MFA n’est rien d’autre qu’essentiel.

Cela dit, certaines formes de MFA sont plus fortes que d’autres, et les événements récents montrent que ces formes plus faibles ne sont pas vraiment un obstacle à surmonter pour certains pirates. Au cours des derniers mois, des script kiddies présumés comme le gang d’extorsion de données Lapsus $ et des acteurs de la menace d’élite de l’État russe (comme Cozy Bear, le groupe derrière le piratage de SolarWinds) ont tous deux réussi à vaincre la protection.

Entrez le bombardement d’invite MFA

Les formes les plus solides de MFA sont basées sur un cadre appelé FIDO2, qui a été développé par un consortium d’entreprises équilibrant les besoins de sécurité et de simplicité d’utilisation. Il donne aux utilisateurs finaux la possibilité d’utiliser des lecteurs d’empreintes digitales ou des caméras intégrés aux appareils ou des clés de sécurité dédiées pour confirmer qu’ils sont autorisés à accéder à un compte. Les formes FIDO2 de MFA sont relativement nouvelles, de sorte que de nombreux services destinés aux consommateurs et aux grandes organisations ne les ont pas encore adoptés.

C’est là qu’interviennent les formes plus anciennes et plus faibles de MFA. Ils incluent des mots de passe à usage unique envoyés par SMS ou générés par des applications mobiles telles que Google Authenticator ou des invites push envoyées à un appareil mobile. Lorsqu’une personne se connecte avec un mot de passe valide, elle doit également saisir le mot de passe à usage unique dans un champ de l’écran de connexion ou appuyer sur un bouton affiché sur l’écran de son téléphone.

C’est cette dernière forme d’authentification qui, selon des rapports récents, est contournée. Un groupe utilisant cette technique, selon à la société de sécurité Mandiant, est Cozy Bear, un groupe de hackers d’élite travaillant pour le service russe de renseignement extérieur. Le groupe porte également les noms de Nobelium, APT29 et the Dukes.

« De nombreux fournisseurs MFA permettent aux utilisateurs d’accepter une notification push d’application téléphonique ou de recevoir un appel téléphonique et d’appuyer sur une touche comme deuxième facteur », ont écrit les chercheurs de Mandiant. « Le [Nobelium] L’acteur de la menace en a profité et a envoyé plusieurs demandes MFA à l’appareil légitime de l’utilisateur final jusqu’à ce que l’utilisateur accepte l’authentification, permettant à l’acteur de la menace d’accéder éventuellement au compte. ”

Lapsus $, un gang de piratage qui a piraté Microsoft, Okta et Nvidia ces derniers mois, a également utilisé cette technique.

« Aucune limite n’est imposée au nombre d’appels pouvant être passés », a écrit un membre de Lapsus $ sur la chaîne officielle Telegram du groupe. « Appelez l’employé 100 fois à 1h du matin alors qu’il essaie de dormir, et il l’acceptera très probablement. Une fois que l’employé a accepté l’appel initial, vous pouvez accéder au portail d’inscription MFA et inscrire un autre appareil. »

Le membre de Lapsus $ a affirmé que la technique de bombardement rapide de la MFA était efficace contre Microsoft, qui a déclaré plus tôt cette semaine que le groupe de piratage avait pu accéder à l’ordinateur portable de l’un de ses employés.

« Même Microsoft ! » la personne a écrit. “Capable de se connecter au VPN Microsoft d’un employé depuis l’Allemagne et les États-Unis en même temps et ils n’ont même pas semblé s’en apercevoir. A également été en mesure de réinscrire MFA deux fois. ”

Mike Grover, un vendeur d’outils de piratage de l’équipe rouge pour les professionnels de la sécurité et un consultant de l’équipe rouge qui passe par le pseudo Twitter _MG_, m’a dit que la technique est « fondamentalement une méthode unique qui prend plusieurs formes : tromper l’utilisateur pour qu’il accuse réception d’une demande MFA. « MFA Bombing » est rapidement devenu un descripteur, mais cela passe à côté des méthodes les plus furtives. »

Les méthodes incluent :

  • Envoyer un tas de demandes MFA et espérer que la cible en accepte enfin une pour faire cesser le bruit.
  • Envoi d’une ou deux invites par jour. Cette méthode attire souvent moins l’attention, mais « il y a encore de fortes chances que la cible accepte la demande MFA ».
  • Appeler la cible, faire semblant de faire partie de l’entreprise et dire à la cible qu’elle doit envoyer une demande MFA dans le cadre d’un processus d’entreprise.

« Ce ne sont que quelques exemples », a déclaré Grover, mais il est important de savoir que les bombardements de masse ne sont PAS la seule forme que cela prend. »

Dans son Fil Twitter, a-t-il écrit, « Les équipes rouges jouent avec des variantes à ce sujet depuis des années. Cela a aidé les entreprises assez chanceuses pour avoir une équipe rouge. Mais les attaquants du monde réel avancent sur ce point plus rapidement que la posture collective de la plupart des entreprises ne s’est améliorée. »

D’autres chercheurs n’ont pas tardé à souligner que la technique d’invite MFA n’est pas nouvelle.

« Lapsus $ n’a pas inventé » le bombardement rapide MFA «  », Greg Linares, un professionnel de l’équipe rouge, tweeté. «S’il vous plaît, arrêtez de les créditer… comme les créant. Ce vecteur d’attaque a été utilisé dans les attaques du monde réel 2 ans avant que le lapsus ne soit une chose. »