Los hackers de Lapsus$ y SolarWinds utilizan el mismo truco para saltarse la MFA

No todos los MFA son iguales, como han demostrado recientemente los script kiddies y los hackers de élite.

La autenticación de múltiples factores (MFA) es una defensa fundamental que se encuentra entre las más efectivas para prevenir la toma de cuentas. Además de requerir que los usuarios proporcionen un nombre de usuario y una contraseña, la MFA garantiza que también deben utilizar un factor adicional -ya sea una huella digital, una llave de seguridad física o una contraseña de un solo uso- antes de poder acceder a una cuenta. Nada de lo que se dice en este artículo debe interpretarse como que la AMF no es más que esencial.

Los hackers de Lapsus$ y SolarWinds utilizan el mismo truco para saltarse la MFA

Dicho esto, algunas formas de MFA son más fuertes que otras, y los acontecimientos recientes muestran que estas formas más débiles no son un gran obstáculo para algunos hackers. En los últimos meses, presuntos "script kiddies" como la banda de extorsión de datos Lapsus$ y actores de élite de la amenaza estatal rusa han derrotado con éxito la protección.

Entrar en el bombardeo de la MFA

Aquí es donde entran las formas más antiguas y débiles de MFA. Entre ellas se encuentran las contraseñas de un solo uso enviadas a través de SMS o generadas por aplicaciones móviles como Google Authenticator o los avisos push enviados a un dispositivo móvil. Cuando alguien se conecta con una contraseña válida, también debe introducir la contraseña de un solo uso en un campo de la pantalla de inicio de sesión o pulsar un botón que aparece en la pantalla de su teléfono.

Es esta última forma de autenticación la que, según informes recientes, se está eludiendo. Un grupo que utiliza esta técnica, según la empresa de seguridad Mandiant, es Cozy Bear, una banda de hackers de élite que trabaja para el Servicio de Inteligencia Exterior de Rusia. El grupo también se conoce con los nombres de Nobelium, APT29 y The Dukes.

"Muchos proveedores de MFA permiten que los usuarios acepten una notificación push de una aplicación telefónica o que reciban una llamada telefónica y pulsen una tecla como segundo factor", escribieron los investigadores de Mandiant. "El actor de la amenaza [Nobelium] se aprovechó de esto y emitió múltiples solicitudes de MFA al dispositivo legítimo del usuario final hasta que el usuario aceptó la autenticación, lo que permitió al actor de la amenaza finalmente obtener acceso a la cuenta".

"No hay límite en la cantidad de llamadas que se pueden hacer", escribió un miembro de Lapsus$ en el canal oficial de Telegram del grupo. "Llama al empleado 100 veces a la 1 de la madrugada mientras intenta dormir, y es más que probable que la acepte. Una vez que el empleado acepte la llamada inicial, puedes acceder al portal de inscripción de MFA e inscribir otro dispositivo".

"¡Incluso Microsoft!", escribió la persona. "Pude iniciar sesión en la VPN de Microsoft de un empleado desde Alemania y Estados Unidos al mismo tiempo y ni siquiera parecieron darse cuenta. También fui capaz de reinscribir MFA dos veces".

Mike Grover, un vendedor de herramientas de hacking de equipo rojo para profesionales de la seguridad y un consultor de equipo rojo que se hace llamar _MG_ en Twitter, me aseguró que la técnica es "fundamentalmente un único método que adopta muchas formas: engañar al usuario para que reconozca una solicitud de MFA. El "bombardeo de MFA" se ha convertido rápidamente en un descriptor, pero esto pasa por alto los métodos más sigilosos".

Los métodos incluyen:

  • Enviar un montón de solicitudes MFA y esperar que el objetivo finalmente acepte una para que el ruido se detenga.
  • Enviar una o dos solicitudes por día. Este método a menudo atrae menos atención, pero "todavía hay una buena posibilidad de que el objetivo acepte la solicitud MFA".
  • Llamar al objetivo, fingiendo ser parte de la empresa, y diciéndole que necesita enviar una solicitud MFA como parte de un proceso de la empresa.

"Esos son sólo algunos ejemplos", afirmó Grover, pero es importante saber que el bombardeo masivo NO es la única forma que adopta esto.

En un hilo de Twitter, escribió: "Los equipos rojos han estado jugando con variantes de esto durante años. Ha ayudado a las empresas que tienen la suerte de contar con un equipo rojo. Pero los atacantes del mundo real están avanzando en esto más rápido de lo que ha mejorado la postura colectiva de la totalidad de las empresas".

¿Quieres saber algunas técnicas que muchos equipos rojos han estado utilizando para eludir las protecciones MFA en las cuentas? Sí, incluso las versiones "inofensivas". Lo comparto para que puedas pensar en lo que viene, cómo harás las mitigaciones, etc. Se está viendo en la naturaleza más en estos días. 🧵1/n- _MG_ (@_MG_) March 23, 2022

Otros investigadores se apresuraron a señalar que la técnica de la solicitud de AMF no es nueva.

"Lapsus$ no inventó el 'MFA prompt bombing'", tuiteó Greg Linares, un profesional del equipo rojo. "Por favor, dejad de atribuirles el mérito de haberlo creado. Este vector de ataque ha sido una cosa usada en ataques del mundo real 2 años antes de que lapsus fuera una cosa".

Lapsus$ no inventó el 'MFA prompt bombing', por favor, deja de atribuirles el mérito de haberlo creado. Este vector de ataque ha sido una cosa usada en ataques del mundo real 2 años antes de que lapsus fuera una cosa- Greg Linares (@Laughing_Mantis) March 25, 2022

Vídeos

Alberto Berrios

Alberto Berrios

🎤 Escribo sobre productos relacionados con el audio 🎶 desde pequeños altavoces inalámbricos hasta grandes sistemas Hi-Fi. No comparo estos productos con otros, sino que muestro los puntos fuertes y débiles de cada dispositivo separado. Si quieres saber si un determinado producto merece la pena, ¡consulta una de mis reseñas antes de hacer la compra! Gracias por leer, hasta la próxima.

Elenbyte
Logo