Nieuwe kwetsbaarheden MFA ontdekt door Proofpoint

Onderzoekers van Proofpoint hebben kritische kwetsbaarheden ontdekt in de multifactorauthenticatie (MFA) in cloud-omgevingen waar WS-Trust is ingeschakeld. Door deze kwetsbaarheden kunnen aanvallers MFA omzeilen en toegang krijgen tot cloud-applicaties die gebruikmaken van het protocol, zoals Microsoft 365. Uiteindelijk kan een aanvaller daarmee volledige toegang krijgen tot het account van het doelwit. Inclusief mail, bestanden, contacten, gegevens en meer. Bovendien kunnen deze kwetsbaarheden ook worden gebruikt om toegang te krijgen tot verschillende andere door Microsoft geleverde cloud-diensten.

Gebruik MFA tijdens pandemie
Multifactorauthenticatie (MFA) is in snel tempo uitgegroeid tot een onmisbare beveiligingslaag voor cloud-applicaties. Tijdens de wereldwijde pandemie nam de vraag naar cloud-gebaseerde applicaties, zoals messaging- en samenwerkingsplatformen, toe doordat steeds meer mensen vanuit huis gingen werken. Medewerkers kregen toegang tot bedrijfsapplicaties vanaf persoonlijke en onbeheerde apparaten. En thuis maakten ze vaker gebruik van hun bedrijfsapparaten, waarbij zij mogelijk schadelijke persoonlijke e-mails lazen of risicovolle websites bekeken.

MFA kan helpen de kans op een aanval te verkleinen door een extra beveiligingslaag toe te voegen. Het vult de gebruikersnaam en wachtwoord aan met een andere factor die alleen de gebruiker bezit, zoals zijn of haar mobiele telefoon. Maar zoals de nieuwe kwetsbaarheden laten zien, biedt MFA op zichzelf niet genoeg beveiliging.

Hoe aanvallers MFA omzeilen
Enkele bekende methoden om MFA te omzeilen zijn real-time phishing, channel hijacking en het gebruik van verouderde protocollen.

– Real-time phishing. In tegenstelling tot reguliere phishing wordt bij real-time phishing de extra factor van de gebruiker gestolen. In sommige gevallen kan de aanvaller een “proxy” creëren die lijkt op de originele website. Daarmee wordt ervoor gezorgd dat het slachtoffer per ongeluk zijn authenticatiecode, inclusief inloggegevens overhandigt.

– Channel hijacking. Bij channel hijacking wordt de telefoon of computer van het slachtoffer aangevallen, meestal met malware. De malware steelt vervolgens de MFA van de telefoon. In sommige gevallen onderscheppen aanvallers zelfs sms-berichten via de zendmast, waarna ze het telefoonnummer van slachtoffers overnemen.

– Verouderde protocollen. Een goedkope en schaalbare methode om MFA te omzeilen is het profiteren van verouderde protocollen. Veel organisaties gebruiken nog steeds oude protocollen, zoals POP en IMAP, die MFA niet ondersteunen. Cybercriminelen gebruiken deze protocollen om geautomatiseerd cloud-attacks uit te voeren, met behulp van inloggegevens die zij ergens online of via phishing hebben verkregen.

Uit onderzoek van Proofpoint naar cloud-aanvallen bleek dat in de eerste helft van 2020 maar liefst 97% van de organisaties te maken kreeg met brute force-aanvallen. Bij 30% van hen werd ten minste één succesvolle aanval op een cloud-account uitgevoerd. Bij e-mail-gebaseerde cloud-aanvallen (credential phishing, malware, enz.), bleek dat 73% van Proofpoints klanten zijn aangevallen en 57% van hen te maken had met minstens één succesvolle aanval.

Combineer MFA met inzicht in bedreigingen
Als het aankomt op cloud-beveiliging, is MFA geen wondermiddel. Naarmate meer organisaties de technologie toepassen, zullen meer kwetsbaarheden worden ontdekt en misbruikt door aanvallers. MFA kan echter wel de houding ten opzichte van beveiliging in het algemeen verbeteren. Vooral wanneer het wordt gecombineerd met beter inzicht in mensgerichte bedreigingen en met adaptieve toegangscontroles.

Meer informatie is beschikbaar via https://www.proofpoint.com/us/blog/cloud-security/new-vulnerabilities-bypass-multi-factor-authentication-microsoft-365