Het gevaar van Multi Factor Authenticatie ‘moeheid’: een les die we meenemen uit de Uber hack

Hackers maken steeds vaker gebruik van social engineering-aanvallen om toegang te krijgen tot bedrijfsgegevens en inbreuk te maken op grote netwerken. Met de opkomst van meer standaardbescherming door bijvoorbeeld het gebruik van multifactorauthenticatie (MFA) ontstaan er nieuwe technieken, waaronder MFA Fatigue of ookwel MFA-moeheid genoemd. 

Jeffrey Appel, security consultant bij Wortell, neemt ons mee in de aanval op Uber. Onder andere Uber heeft recent te maken gehad met een inbreuk via MFA-moeheid. Hoe weten criminelen MFA te omzeilen? En hoe zorg jij ervoor dat je organisatie bestand is tegen MFA-moeheid. We leggen het uit.  

Wat is MFA-moeheid

MFA-moeheid (Mitre ATT&CK T1612) is niet nieuw en wordt door veel hackersgroepen gebruikt. Voorbeelden hiervan zijn: Lapsus$ en Cozy Bear. MFA-moeheid is in opkomst en wordt steeds vaker gebruikt om toegang te krijgen tot bedrijfsgegevens en inbreuk te maken op netwerken waar MFA-moeheid nu deel uitmaakt van de mainstream toolbox.

MFA-moeheid verwijst naar de overdaad aan prompts die het slachtoffer via MFA-toepassingen ontvangt. De techniek werkt wanneer de dreigingsactor al over de inloggegevens voor een doelaccount beschikt. Phishing, brute forcing, data breach, password spraying, dark web en vele andere technieken kunnen worden gebruikt om de eerste gegevens te verkrijgen. Hiermee is het nog altijd van essentieel belang om je wachtwoord goed te beveiligen.  

Zodra de inloggegevens beschikbaar zijn, begint de dreigingsactor om goedkeuring te vragen voor het aanmelden bij de MFA-toepassing. Met als doel: het aantal MFA-prompts te overbelasten en te wachten tot de gebruiker het verzoek goedkeurt. Wanneer de gebruiker de initiële MFA-aanmeldingen niet goedkeurt, kan social engineering worden gebruikt om de gebruiker een bericht te sturen en via e-mail/Teams of WhatsApp te vragen het MFA-verzoek goed te keuren, zogenaamd door een IT-medewerker of IT-beheerder. 

In de afgelopen maanden zijn er diverse grote organisaties het doelwit geworden van soortgelijke aanvallen.  In alle gevallen beginnen de aanvallen met social engineering en gestolen of overgenomen inloggegevens van werknemers om toegang te krijgen tot VPN's en het interne netwerk. 

MFA-moeheid heeft de laatste tijd veel aandacht gekregen door inbraken bij bedrijven als Uber, Cisco, Twitter en Okta.  

Een aanval bestaat in grote lijnen uit een viertal stappen die we hieronder uitleggen.  

Stap 1: gestolen inloggegevens

Het begint allemaal met gestolen inloggegevens. Het is tegenwoordig behoorlijk eenvoudig om aan gestolen inloggegevens te komen. Die kunnen worden verzameld via phishingaanvallen, malware of via datalekken. Op het Dark Web kunnen inloggegevens worden gekocht. En ja, ook de inloggegevens van de grote organisaties zijn daar te vinden.  

Hopelijk zijn alle bedrijven op zijn minst beschermd met MFA, wat moeilijker maakt om bij een organisatie binnen te dringen. Lees je momenteel deze blog en is er geen MFA geconfigureerd? Schakel deze dan zo snel mogelijk in en wacht niet tot jouw organisatie voor het eerst wordt geraakt. Zonder MFA is het slechts een kwestie van tijd tot het misgaat. 

Stap 2: MFA omzeilen/ Social engineering

Organisaties gebruiken steeds meer een MFA methode om gebruikers te beschermen. Al is het zeker geen 100% zekerheid, ook MFA is te omzeilen. Er zijn meerdere methoden beschikbaar om MFA te omzeilen: 

• Het stelen van cookies via malware
• Man-in-the-middle phishing-aanvallen ( Evilginx2)

Er kan gebruik worden gemaakt van social engineering. Een techniek genaamd 'MFA-moeheid, MFA push spam' is in opkomst en een nieuwe veelgebruikte techniek om in te breken in bedrijfsnetwerken. Voor MFA-moeheid is geen extra infrastructuur of malware nodig.

Voorbeeld Uber:

Een goed voorbeeld is de recente inbraak bij Uber; waarbij de aanvaller gestolen/gekochte inloggevens gebruikte en de gebruiker een uur lang spamde met push-authenticatieprompts. Na een uur nam de aanvaller contact op met de gebruiker en beweerde van Uber IT te zijn met de boodschap; accepteer de meldingen zodat de pushnotifacties verdwijnen. Uiteindelijk stemde de medewerker in met de MFA en voegde de aanvaller een nieuw apparaat toe.

Stap 3: Toegang tot interne bronnen/cloud omgevingen

Wanneer er toegang is via een MFA-methode, zoekt de aanvaller waarschijnlijk naar interne bronnen die gebruikt kunnen worden om meer toegang te krijgen. Enkele voorbeelden welke interessant zijn voor de aanvaller:  

Voor cloud-only omgevingen:

• Valideer of Okta wordt gebruikt
• Controleer of er Privileged Identity Toolings zijn
• Extra aangesloten toepassingen (wachtwoord toolings/ key-saves)

Voor on-premises omgevingen:

• VPN-mogelijkheden
• Regelmatig worden er handleiding op een intranet geplaatst met de uitleg van VPN/ Remote Access software. Voor aanvallers is dit nuttige informatie. 
• Wanneer er de mogelijkheid is om te verbinden met een VPN/ intern netwerk, kan de aanvaller meer ontdekken en het volledige intranet scannen. 

Stap 4: Het netwerk ontdekken

Stap 4 is de initiële ontdekking van het netwerk. Wanneer er toegang is tot cloud omgevingen en on-premise intranetbronnen kan de ontdekking beginnen; zoeken naar scripts/wachtwoorden en aanvullende inloggegevens die leiden tot toegang tot andere toolings. 

Voorbeeld Uber:

De bestaande VPN toegang wordt gebruikt voor een koppeling naar het interne netwerk. Het interne netwerk wordt vaak aanzienlijk minder gecontroleerd en geëvalueerd in vergelijking met externe infrastructuren. In vergelijking met Azure zijn er in de cloud meer ingebouwde beschermingstools. Vertrouw in geen geval op de defaults en elke mogelijke manier van toegang tot interne/externe of cloud omgevingen.

Tijdens de ontdekking vond de aanvaller een interne netwerkshare waar scripts met geprivilegieerde inloggevens werden gepubliceerd. Een van de PowerShell scripts bevatte de inloggegevens voor een Privilege Access Management (PAM) tooling (Thycotic) die leidt tot toegang tot andere nuttige bronnen ( Duo, Onelogin, Slack, EDR portal (SentinelOne), AWS, GSuite, en nog veel meer).

Sommige apps kunnen opnieuw MFA vereisten, waarbij de aanvaller een nieuwe telefoon heeft geregistreerd voor MFA. Hierdoor kan de authenticatie makkelijk worden goedgekeurd zonder inspraak van de werknemer. 

De beveiligingsupdate voor Uber is hier te vinden; Beveiligingsupdate - Uber.com

Bescherming tegen gestolen inloggegevens

Er zijn meerdere producten beschikbaar voor het beschermen van wachtwoorden en het scannen op gestolen gecompromitteerde wachtwoorden.

We beginnen met een aantal basisbeginselen:

• Vergeet niet een sterk wachtwoordbeleid in te schakelen voor alle systemen en toepassingen. Als aanvallers je sterke wachtwoord niet kunnen raden, kunnen ze je niet meerdere MFA-verzoeken sturen.
• Schakel Legacy Authentication uit

Als het gaat om gestolen inloggegevens is het sterk aanbevolen om de volgende producten te configureren: 

• Azure AD Password Protection
• Identity Protection P1/ P2 
• Microsoft Cloud App Security 

Azure AD Password Protection

Azure AD Password Protection ondersteunt verschillende beveiligingen. Azure AD Password Protection kan worden gebruikt om te voorkomen dat gebruikers slechte/makkelijk te raden/compromitterende wachtwoorden kiezen.

Microsoft houdt een wereldwijde lijst met verboden wachtwoorden bij met opgeslagen wachtwoorden die te vaak voorkomen. Deze lijst wordt om veiligheidsredenen niet gepubliceerd. 

Bescherming tegen ‘MFA-moeheid’ 

Aanvallen welke gebruik maken van MFA-moeheid zijn lastig om volledig te voorkomen. Uiteraard is het wel mogelijkheid om de aanvallen te beperken met additionele configuraties.  

Aanvallers blijven nieuwe manieren vinden om MFA als doelwit te gebruiken en beveiligingscontroles te omzeilen. Hiervoor zijn phishing-bestendige MFA-factoren (FIDO2/ FIDO) een mogelijkheid voor additionele beveiliging.  

Op basis van Microsoft technologie zijn er aanvullende instellingen waarmee de gebruiker een extra laag als toevoeging van de gebruikelijk MFA-melding zal krijgen in de vorm van “number matching”. Met number matching krijgen gebruikers die reageren op MFA-push notificaties via de authenticator app een nummer te zien. Vervolgens is het vereist om dat nummer in de authenticator app te typen. Bij een gebruikelijke aanval heeft de eindgebruiker niet de beschikking tot de juiste cijfers, waarmee er geen mogelijk is tot de voltooiing van het MFA verzoek.

Een effectieve beveiliging is niet alleen gericht op de techniek. Awareness training voor de medewerkers is belangrijk. Vooral om hierin aan te geven dat ook MFA niet altijd veilig is. Veel medewerkers wanen zich veilig met MFA. Bewustheid van nieuwe technieken is steeds belangrijker.