3 façons d’atténuer les attaques par MFA Prompt Bombing
Il est entre 22H-24H et votre téléphone ne cesse de vous réveiller avec des notifications push MFA continues pour authentifier l’accès à l’un de vos comptes professionnels. Bien que votre première pensée puisse être d’accepter et d’authentifier l’accès afin de pouvoir vous rendormir, cette action pourrait entraîner la chute de votre organisation dans une cyberattaque. Ce style d’attaque est appelé Prompt bombing d’authentification multifacteur (ou bombardement rapide MFA). Alors que cette forme d’attaque contre les organisations commence à défrayer la chronique, elle n’est pas nouvelle. Malgré cela, de nombreux utilisateurs et leurs équipes de sécurité demeurent toujours moins conscients sur la nouvelle technique d’attaque.
Dans cet article de blog, HTBS et son partenaire SilverFort donneront un aperçu du fonctionnement des attaques par bombardement rapide MFA, des défis qu’elles présentent et enfin des recommandations proactives.
Qu'est-ce que le bombardement rapide MFA ?
Le bombardement rapide MFA est une attaque de faible complexité par des cybercriminels visant à accéder à des systèmes ou applications protégés par MFA. Un attaquant envoie à un utilisateur de nombreuses demandes d’approbation MFA dans un court laps de temps, en espérant que l’utilisateur soit confus par le grand nombre de demandes MFA et accordera sans le savoir l’accès à l’acteur de la menace. La plupart du temps, les attaquants frappent les utilisateurs au mauvais moment pour permettre des taux de compromission plus efficaces.
Les bombardements rapides MFA existent depuis plusieurs années, mais les attaquants utilisent maintenant ces méthodes d’attaque plus fréquemment. Ils continuent d’utiliser cette technique d’attaque contre de nombreux utilisateurs des organisations, en contournant les protections MFA standard jusqu’à ce que l’utilisateur accepte la demande d’authentification. L’industrie de la sécurité considère le bombardement rapide MFA comme une forme d’ingénierie sociale.
L’ingénierie sociale, généralement associée aux e-mails de harponnage, fait référence à la manipulation des faiblesses humaines.
Quel que soit le niveau de harcèlement des attaques rapides MFA , l’objectif de l’attaquant est d’amener l’utilisateur ciblé à accepter la demande MFA, en accordant à l’attaquant l’accès à son compte ou en exécutant un code malveillant sur le système ciblé.
Bombardement rapide MFA en action
Bien que les bombardements rapides MFA soient un vecteur d’attaque bien connu, sa popularité auprès des acteurs de la menace n’a augmenté qu’au cours des deux dernières années.
L’attaque réussie la plus récente et la plus populaire du bombardement rapide du MFA a été exécutée par Lapsus$. Le groupe a mis en évidence les faiblesses de certaines options MFA avec une attention plus particulière aux notifications push d’approbation MFA. Leurs récentes attaques réussies ont été réalisées en bombardant l’utilisateur avec des demandes MFA jusqu’à ce que l’utilisateur l’approuve pour l’arrêter.
Un membre de Lapsus$ a écrit sur la chaîne de discussion officielle Telegram du groupe. « Appelez l’employé 100 fois à 1 h du matin alors qu’il essaie de dormir, et il l’acceptera plus que probablement. Une fois que l’employé a accepté l’appel initial, vous pouvez accéder au portail d’inscription MFA et inscrire un autre appareil. »
L'expérience utilisateur et l'équilibre de sécurité
En raison de l’attention croissante portée aux attaques par Prompt Bombing MFA, certaines organisations ont décidé de désactiver les notifications push MFA pour les demandes d’authentification et ont mis en place des mots de passe à usage unique (OTP). En effet, bien qu’il soit conçu pour rendre plus difficile pour les attaquants l’accès aux informations et aux ressources sensibles, il crée une expérience utilisateur moins bonne. OTP exige que l’utilisateur fournisse des informations d’identification supplémentaires, telles qu’un code envoyé par SMS qui permet à l’utilisateur d’accéder aux différentes ressources auxquelles il tente d’accéder.
De plus, bien qu’un mot de passe à usage unique puisse être légèrement plus sécurisé que les notifications push, cela aggrave l’expérience de l’utilisateur. A cet effet, les organisations doivent donc trouver le juste équilibre entre l’expérience utilisateur et la sécurité pour s’assurer que leurs utilisateurs ne subissent pas de fatigue MFA et ne mettent pas en danger la sécurité des utilisateurs et de l’organisation. Au lieu donc de désactiver l’OTP, nous pensons que l’approche idéale pour les organisations consiste à désactiver automatiquement les notifications push MFA lorsqu’elles dépassent un certain nombre de notifications. L’idée est que les utilisateurs ne verront que quelques messages MFA et que leur équipe de sécurité informatique verra toutes les demandes MFA dans le journal d’activité de l’utilisateur.
Notre solution Silverfort pour lutter contre le bombardement rapide MFA
Les notifications push sont la solution préférée pour équilibrer l’expérience utilisateur avec le bon niveau de sécurité pour la protection MFA. Cependant, un nombre approprié de mesures de sécurité doivent être mises en œuvre pour empêcher les utilisateurs d’être victimes d’attaques basées sur l’identité. HTBS et Silverfort proposent à ses clients trois techniques différentes pour se protéger contre les attaques par prompt bombing MFA entrantes.
- Blocage adaptatif – Assurez vous qu’après un certain nombre de demandes MFA refusées dans un court laps de temps, les utilisateurs ne sont plus invités et doivent etre automatiquement refusés. Les clients peuvent configurer la fonctionnalité de blocage adaptatif dans la console de gestion Silverfort, elle est toujours activée par défaut et se trouve sous Paramètres et Informations sur la société. Assurez-vous également de choisir des paramètres qui bloquent les attaquants, mais ne bloquez pas les utilisateurs qui refusent accidentellement les demandes MFA pendant trop longtemps.
- Créer des politiques basées sur les risques – À partir de la version 4.1 de la plate-forme Silverfort, les utilisateurs peuvent créer des politiques basées sur les risques pour détecter et prévenir le risque d’activité MFA anormale lors de la réception d’un nombre anormal de demandes MFA dans un court laps de temps. Les administrateurs peuvent s’assurer que les utilisateurs non autorisés ne peuvent pas accéder aux ressources de l’entreprise en configurant des politiques basées sur les risques via la Silverfort Management Console.
- Surveillance des demandes MFA bloquées – Dans Silverfort Management Console ou SOC/SIEM, les clients peuvent surveiller toutes les demandes d’accès de tous les comptes d’utilisateurs et de machines, en particulier les demandes MFA refusées. Silverfort peut identifier automatiquement les activités malveillantes et les risques de toutes les demandes d’authentification des utilisateurs et fournir des informations détaillées sur chaque demande MFA refusée. Les utilisateurs administrateurs peuvent surveiller toutes les demandes d’accès à la plate-forme Silverfort en transférant les événements syslog à un SIEM ou en générant des rapports quotidiens à partir de la page des journaux Silverfort.
En suivant et en mettant en œuvre les recommandations de SilverFort, vous augmenterez considérablement la résilience contre les attaques par bombardements rapides MFA et annulerez la capacité d’un attaquant à exploiter facilement ses cibles pour un accès malveillant supplémentaire.
Notre partenaire Silverfort a lancé la première plate-forme de protection contre les menaces d’identité spécialement conçue pour la prévention, la détection et la réponse en temps réel aux attaques basées sur l’identité qui utilisent des informations d’identification compromises pour accéder aux ressources ciblées. Notre Solution MFA de Silverfort empêche ces attaques grâce à une surveillance continue, une analyse des risques et l’application en temps réel des politiques d’accès Zero Trust sur chaque utilisateur, systèmes. Cela inclut une protection MFA de bout en bout, ainsi qu’une surveillance continue de toutes les authentifications sur site et dans le cloud.
Source : Silverfort
Inscrivez vous ci-dessous pour recevoir notre Newsletter chaque semaine :