skip to Main Content

Cybersecurity, l’autentificazione multi-fattore (MFA) è davvero infallibile?

di Pierguido Iezzi

La MFA – Multi Factor Authentication è davvero così sicura come si crede? Dall’incremento di attacchi del cybercrime non sembra

Il terzo principio della dinamica di Newton, detto in maniera molto semplificata, ci dice che se un corpo esercita una forza su un secondo corpo, allora il secondo esercita sul primo una forza uguale o contraria. A volte potremmo dire che la sfida tra cybercrime e cybersecurity funziona un po’ secondo questi dettami. Con il diffondersi dell’utilizzo dei sistemi di autenticazione multi fattore (MFA – Multi Factor Authentication), i Criminal Hacker stanno escogitando nuovi e innovativi metodi per aggirare questa tecnologia; e ci stanno riuscendo…Pensiamo, per esempio, a quanto successo poche settimane fa, quando Proofpoint ha scoperto vulnerabilità critiche in Microsoft WS-Trust che avrebbero potuto permettere di bypassare la MFA sui servizi cloud, che utilizzano quella tecnologia (Microsoft 365 in primis). Le falle erano legate a quello che Microsoft stessa aveva definito come un “protocollo intrinsecamente non sicuro” combinato con alcuni bug emersi nella sua implementazione con i vari Identity provider.

La MFA garantisce benefici, non immunità

Mentre è vero che l’autenticazione multi fattore migliora la sicurezza complessiva degli utenti online, vulnerabilità e la scarsa attenzione degli utenti possono compromettere tali protezioni. Quando si tratta di sicurezza cloud, l’MFA non è la soluzione a tutto. Con l’adozione di questa tecnologia da parte di un numero sempre maggiore di organizzazioni, gli aggressori scopriranno e abuseranno di un numero sempre maggiore di vulnerabilità.

I metodi di bypass dell’autentificazione multi-fattore più comuni: Il phishing in tempo reale

Alcuni dei metodi più utilizzati dai Criminal Hacker per bypassare l’autenticazione multi fattore sono il phishing in tempo reale, channel hijacking e l’utilizzo di protocolli legacy. Innanzitutto c’è il phishing in tempo reale. A differenza di quello “tradizionale”, consiste nel rubare il “fattore extra” dell’autenticazione multi fattore. In alcuni casi, l’attaccante potrebbe creare una proxy tra la vittima del suo attacco e il sito web che questa sta cercando di raggiungere. Questa è progettata per sembrare in tutto e per tutto il sito “reale” che l’utente sta cercando di raggiungere. Utilizzando il sito “trappola”, il cybercrime manipola la sua vittima nel fornire il suo codice di autenticazione assieme alle sue credenziali. Questo tipo di attacco è stato anche automatizzato con successo attraverso tools come Modlishka. Fortunatamente la “shell life” di questi strumenti è ancora molto breve e i Criminal Hacker sono costretti ad aggiornarli frequentemente per evitare di essere rilevati.

La “Challenge Refection” e il “Channel Hijacking”

Un altro metodo di phishing in tempo reale utilizzato dai Criminal Hacker è chiamato “challenge reflection”. In questi casi le vittime sono ingannate nel fornire le proprie credenziali del MFA all’interno di un sito di phishing, credenziali che vengono immediatamente ridistribuite agli attaccanti. Non si tratta di una tecnica MITM (Man in the Middle), anche se questo approccio di phishing solitamente richiede l’input in tempo reale di una persona per facilitare la violazione degli account targetizzati. Un attacco di channel hijacking, invece. prende di mira il telefono o il computer della vittima, di solito con malware. Questo può utilizzare il man-in-the-browser o web injection per ottenere informazioni. Alcuni malware sono in grado persino di sottrarre l’MFA dal telefono. In alcuni casi, gli aggressori rubano persino messaggi di testo direttamente attraverso il ripetitore telefonico o attraverso un ripetitore “canaglia”, rilevando il numero di telefono della vittima o hackerando la segreteria telefonica.

I Protocolli legacy

Un metodo più economico e più scalabile – per i Criminal Hacker – per bypassare la MFA sfrutta i protocolli legacy – che ancora prosperano in fin troppe aziende – per gli attacchi agli account cloud. Molte organizzazioni continuano a permettere che i protocolli legacy siano in grado di supportare dispositivi o applicazioni legacy come fotocopiatrici o account condivisi, come quelli per le sale conferenze. Anche quelli e-mail legacy come POP e IMAP non supportano la MFA con applicazioni non interattive, quindi non possono applicarlo. Questo metodo di bypass è facilmente automatizzato e viene applicato ai dump di credenziali (Data Leak/Breach) o alle credenziali ottenute dal phishing. Anche se le organizzazioni hanno iniziato a bloccare i protocolli legacy o a consentirli solo per alcuni utenti specifici, il problema persiste. Unendo ciò al fatto che, secondo Proofpoint, nella prima metà del 2020 il 97% delle organizzazioni è stato sottoposto ad attacchi di brute force, non sorprende che il 30% di esse aveva almeno un account cloud compromesso.

Quando si tratta di sicurezza in-the-cloud, la MFA non è una panacea universale. Non dobbiamo abbassare la guardia!

Come tutte le soluzioni di cybersecurity non deve essere monolitica, sperando che questa da sola possa funzionare come barriera invalicabile. In questo caso inserirla come parte integrante delle policy sulla sicurezza può essere un buon inizio, ma deve essere abbinata a costanti attività di risk assessment – come Vulnerability Assessment, Penetration Testing e Network scan – e di Threat intelligence per scoprire quali email potrebbero essere state già compromesse e se ci sono campagne di phishing in corso contro la nostra azienda. Come sempre il motto rimane: Non abbassiamo la guardia!

Back To Top