Группа обнаружения и реагирования Microsoft (DART) недавно предупредила, что злоумышленники все чаще используют кражу токенов для обхода многофакторной аутентификации (MFA).
«Посредством компрометации и повторного использования токена, выданного удостоверению, которое уже завершило многофакторную аутентификацию, субъект угрозы проходит проверку MFA, и соответственно предоставляется доступ к ресурсам организации», — написала команда в своем блоге.
Они отметили, что это особенно тревожно, потому что метод атаки не требует значительных знаний, его трудно обнаружить, и немногие организации следят за ним.
Атаки AitM и Pass-the-Cookie
Двумя ведущими методами кражи токенов, наблюдаемыми DART, являются структуры злоумышленника посередине (AitM) и атаки с использованием файлов cookie.
Команда предупредила, что в случае с AitM: «Фреймворки, такие как Evilginx2, выходят далеко за рамки фишинга учетных данных, вставляя вредоносную инфраструктуру между пользователем и законным приложением, к которому пользователь пытается получить доступ. Когда пользователь подвергается фишингу, вредоносная инфраструктура захватывает как учетные данные пользователя, так и токен».
В зависимости от привилегий жертвы, результат может варьироваться от компрометации деловой электронной почты (BEC) до полного захвата административного контроля.
Атаки с использованием файлов cookie включают в себя компрометацию файлов cookie браузера для доступа к корпоративным ресурсам. «После аутентификации в Azure AD через браузер для этого сеанса создается и сохраняется файл cookie», — отметили в команде. «Если злоумышленник может скомпрометировать устройство и извлечь файлы cookie браузера, он может передать этот файл cookie в отдельный
Это особая проблема для персональных устройств. По мере того, как все больше и больше сотрудников работают удаленно, предупреждает DART, сотрудники все чаще получают доступ к корпоративным ресурсам с устройств, не имеющих надежного контроля безопасности.
«Пользователи на этих устройствах могут одновременно входить как на личные
Все стандартные вредоносные программы, такие как Emotet, Redline и IcedID, имеют встроенные функции для удаления файлов cookie браузера. Более того, отмечает DART, «злоумышленнику не нужно знать пароль скомпрометированной учетной записи или адрес электронной почты, чтобы это работало — эти данные хранятся в файле cookie».
Как реагировать на кражу токенов
Ключевые меры по смягчению последствий, согласно DART, включают в себя полную видимость того, как и где все пользователи аутентифицируются.
«Разрешение использовать только известные устройства, которые соответствуют рекомендуемым базовым уровням безопасности Microsoft, помогает снизить риск того, что вредоносное ПО для кражи учетных данных может скомпрометировать устройства конечных пользователей», — написали они.
Для неуправляемых устройств DART рекомендует сократить время существования каждого сеанса, чтобы сократить время, в течение которого данный токен является жизнеспособным, и внедрить управление приложениями условного доступа в Microsoft Defender для облачных приложений.
Для пользователей с высоким уровнем привилегий DART также рекомендует внедрить решения MFA, устойчивые к фишингу, такие как ключи безопасности FIDO2, Windows Hello для бизнеса или аутентификация на основе сертификатов. Такие пользователи также должны иметь отдельный облачный идентификатор для действий администратора.
DART отмечает, что если пользователь скомпрометирован, Azure AD предоставляет возможность отозвать токен обновления, заставив пользователя повторно пройти аутентификацию, хотя токен может оставаться действительным в течение часа, предоставляя злоумышленнику доступ к учетной записи до тех пор, пока он не будет удален. истекает.
DART также рекомендует проверять любую скомпрометированную учетную запись пользователя на наличие признаков сохраняемости, таких как добавленные правила почтового ящика для пересылки или скрытия электронной почты, дополнительные методы проверки подлинности, добавленные в MFA, дополнительная регистрация устройств и эксфильтрация данных.
«Важно иметь видимость, оповещения, понимание и полное понимание того, где применяются меры безопасности», — написала команда. «Настоятельно рекомендуется относиться к поставщикам удостоверений, которые генерируют токены доступа, и к связанным с ними привилегированным удостоверениям как к критически важным активам».
