Ataques de Push Bombing en métodos de Múltiple Autenticación (MFA)

Iniciado por AXCESS, Enero 16, 2024, 07:49:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Enero 16, 2024, 07:49:31 PM Ultima modificación: Enero 16, 2024, 08:12:26 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El push bombing es un ataque de fatiga MFA dirigido en el que un atacante realiza múltiples intentos de inicio de sesión en el portal SSO del objetivo o en aplicaciones y servicios corporativos expuestos públicamente.

El push bombing se utiliza con contraseñas robadas o filtradas contra MFA tradicional (contraseña + segundo factor). Una vez que el atacante ha escrito el primer factor, el nombre de usuario y la contraseña, sólo necesita que el usuario acepte el segundo factor enviado a su teléfono (o correo) para acceder a los recursos de la víctima.

Este tipo de "bombardeo" funciona porque los usuarios acceden a muchas aplicaciones diferentes y tienen que volver a autenticarse en aplicaciones varias veces al día. Esta repetición crea memoria muscular que puede hacer que los usuarios aprueben un mensaje push cualquiera. O, como implica la palabra bomba, los atacantes envían solicitudes continuas. La frustración exacerba la paciencia del usuario, lo que lo lleva a hacer clic en cualquier mensaje recibido.
 
Para los intrusos avanzados que buscan persistencia, el siguiente paso es cambiar las credenciales de la cuenta o los perfiles de MFA para una apropiación de la cuenta como punto de partida para un movimiento lateral hacia activos comerciales más interesantes.

A los atacantes les encanta explotar el push porque funciona (Cisco y Uber fueron víctimas recientes de este tipo de ataques). Pero lo que atrae a los atacantes a esta técnica es que es fácil. En muchos casos, no se requiere malware ni infraestructura de phishing de intermediario (MiTM) para que funcione.

Cómo funciona el ataque push bombing


Cuando un usuario activa la MFA en una cuenta, suele recibir un código o una solicitud de autorización de algún tipo. El usuario introduce sus credenciales de acceso. A continuación, el sistema envía una solicitud de autorización al usuario para completar su inicio de sesión.

El código MFA o la solicitud de aprobación suelen llegar a través de algún tipo de mensaje "push". Los usuarios pueden recibirlo de varias maneras:

•    SMS/texto

•    Un dispositivo emergente

•    Notificación de una aplicación

•    Correo electrónico

Recibir esa notificación es una parte normal del inicio de sesión de la autenticación multifactor. Es algo con lo que el usuario estaría familiarizado.

Con el push bombing, los atacantes empiezan con las credenciales del usuario. Pueden obtenerlas a través de phishing o de un volcado de contraseñas de una gran violación de datos. Luego, intentan entrar muchas veces a la cuenta. Esto envía al usuario legítimo varias notificaciones push, una tras otra. Muchas personas cuestionan la recepción de un código inesperado que no solicitaron. Pero cuando alguien es bombardeado con ellas, puede ser fácil hacer clic por error para aprobar el acceso.
 
Push bombing es una forma de ataque de ingeniería social diseñado para:

•    Confundir al usuario

•    Desgastar al usuario

•    Engañar al usuario para que apruebe la solicitud MFA para dar acceso al atacante.

Al principio, los ataques son simples contra un empleado para lograr engañarlo rápidamente. Sin embargo, estos ataques suelen ser puntos de entrada para un ataque dirigido contra el empleador de la víctima o hacia arriba en la cadena de suministro hacia clientes empresariales más grandes. El ataque está documentado en MITRE ATT&CK Framework como T1621 (Generación de solicitud de autenticación multifactor) y generalmente se ejecuta en cinco partes:
 
1. Reconocimiento: el atacante investiga el flujo de trabajo del objetivo y los recursos expuestos públicamente.

2. Acceso a credenciales: el atacante adquiere las credenciales del objetivo mediante phishing, robo de contraseñas o búsquedas en la la web.

3. Acceso inicial: el atacante inicia solicitudes de acceso a los recursos expuestos de las víctimas, lo que activa repetidas notificaciones push a la víctima con la intención de engañarla. A través de llamadas falsas al servicio de asistencia de TI que dicen: "Necesitamos que apruebe esa solicitud" o exacerbar al objetivo para que apruebe el reconocimiento del segundo factor accidentalmente o por frustración.
 
4. Movimiento lateral: el atacante pasa a un estado de intruso y, en muchos casos, se mueve lateralmente a través del interior de la empresa hacia activos más valiosos.
 
5. Impacto: el intruso detona cargas útiles de ransomware, extrae datos o instala puertas traseras para agregarlas al grupo de propiedades del agente de acceso inicial.

Cómo detener los ataques Push Bombing

Se pueden detener los ataques push bombing combinando la educación de los usuarios y tecnologías MFA reforzadas.

La concientización de los usuarios sobre los ataques de ingeniería social, es esencial para reducir la probabilidad de éxito de los atacantes. Sin embargo, los trabajadores son personas. Para el personal que no pertenece a la seguridad, esta ocupa un segundo lugar, o incluso más abajo, en la clasificación de prioridades después de realizar su trabajo.

La educación para la concientización tiene límites, como lo demuestran los informes anuales de phishing de KnowBe4: después de 12 meses de capacitación intensiva en phishing, el 5% de 9,5 millones de personas de 30.100 organizaciones todavía mordieron el anzuelo. Y los resultados de este año reflejan informes anteriores.

Técnicas adaptativas de MFA

La experiencia del usuario es esencial para el éxito de los programas de MFA. Imponer obstáculos draconianos genera descontento en los usuarios, lo que no es bueno para los administradores ni para la gerencia de TI.
Adaptive MFA agrega inteligencia a los flujos de trabajo tradicionales de MFA para combatir los indicadores anónimos. Tras la detección, la plataforma MFA presenta ayudas a los usuarios y obliga a realizar pasos adicionales en el flujo de trabajo de inicio de sesión. Éstas incluyen:

•    Geolocalización de la solicitud de origen

•    OTP en la aplicación para la entrada manual en el mensaje de servicio al que se accede

•    Solicitar acciones de violación de la política de frecuencia e intervalo para frenar y bloquear a los bombarderos

Estas técnicas adaptativas aumentan la capacidad del usuario para proteger los recursos de la empresa. Sin embargo, tienen límites. Por ejemplo, la geolocalización de direcciones IP puede ser propensa a errores debido a imprecisiones introducidas por VPN, TOR y la infraestructura móvil. En segundo lugar, cualquier aceptación errónea, incluso después de los mensajes de advertencia geográfica y OTP, resulta en el éxito del atacante.
 
Técnicas de MFA resistentes al phishing: el desarrollo más reciente contra el push bombing es el MFA resistente al phishing. Esta tecnología intenta eliminar las debilidades de los usuarios ante ataques relacionados con el phishing. En este caso se utilizan técnicas de fijación que vinculan a los usuarios, estaciones de trabajo y navegadores a sus aplicaciones y servicios asignados. La MFA resistente al phishing suele utilizar tokens de hardware como tarjetas inteligentes X.509 y llaves USB o tokens de hardware FIDO2 para imposibilitar el acceso no autorizado sin poseer los tokens.
 
MFA sin contraseña (passwordless): se libera a los usuarios de crear o recordar cualquiera de las contraseñas de su lugar de trabajo elimina el riesgo de phishing de contraseñas más grave. Se aumenta las apuestas al eliminar las contraseñas, algo que sabes a favor de algo que eres.
 
Lo más interesante es que, si bien a los usuarios les encanta la MFA sin contraseña, TI es el gran ganador. TI reduce inmediatamente los riesgos de seguridad y detiene las llamadas al servicio de asistencia técnica para contraseñas que consumen mucho tiempo. Sin mencionar que TI puede modernizar la infraestructura más rápidamente sin la coordinación para compartir secretos de los usuarios.

Fuente:
Double Octopus
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía (Traducción al Español):
Segu-Info
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


No tienes permitido ver enlaces. Registrate o Entra a tu cuenta