Kampanja za krađu identiteta iskorištava Microsoft Active Directory Federation Services (ADFS) da zaobiđe višefaktorsku autentifikaciju (MFA) i preuzme korisničke račune, omogućavajući hakerima da počine dalje maliciozne aktivnosti na mrežama koje zavise od usluge za autentifikaciju jedinstvene prijave (SSO) .
Istraživači iz Abnormal Security otkrili su kampanju, koja cilja na oko 150 organizacija –prvenstveno u sektoru obrazovanja – koje se oslanjaju na ADFS za autentifikaciju na više lokalnih sistema i sistema zasnovanih na cloud-u.
Kampanja koristi lažne e-poruke koje usmjeravaju ljude na lažne stranice za prijavu na Microsoft ADFS, koje su personalizovane za određenu MFA postavku koju koristi cilj. Kada žrtva unese kredencijale i MFA kod, napadači preuzimaju račune i mogu se prebaciti na druge usluge putem SSO funkcije.
Ova funkcija je prvobitno bila dizajnirana za upotrebu iza firewall-a, ali je sada više izložena jer se sve više primjenjuje na usluge zasnovane na cloud-u, iako nikada nije bila dizajnirana za to, napominje.
Napadači u kampanji lažiraju stranice za prijavu na Microsoft ADFS kako bi prikupili korisničke akreditive i zaobišli MFA na način koji jedan dugogodišnji stručnjak za sigurnost kaže da nije vidio prije.
“Ovo je prvi put da sam pročitao o lažnim ADFS stranicama za prijavu”, primjećuje Roger Grimes, zagovarač odbrane zasnovan na podacima u sigurnosnoj firmi KnowBe4.
Mamci za podršku
Ciljevi kampanje primaju e-poruke dizajnirane da se pojavljuju kao obavještenja od IT help desk organizacije – široko korištena phishing lukavstva – s porukom koja obavještava primaoca o hitnom ili važnom ažuriranju koje zahtijeva njihovu hitnu pažnju. U poruci se od njih traži da koriste pruženu vezu za pokretanje tražene radnje.
Ipak, e-poruke uključuju različite karakteristike koje ih čine uvjerljivima, uključujući lažne adrese pošiljaoca koje izgledaju kao da potiču od povjerljivih entiteta, lažne stranice za prijavu koje oponašaju legitimni brend i maliciozne veze koje oponašaju strukturu legitimnih ADFS veza, primijetili su istraživači.
“U ovoj kampanji, napadači iskorištavaju pouzdano okruženje i poznati dizajn ADFS stranica za prijavu kako bi prevarili korisnike da predaju svoje kredencijale i detalje autentifikacije drugog faktora”, navodi se u izvještaju.
Ciljanje naslijeđenih korisnika
Dok je kampanja usmjerena na različite industrije, organizacije koje snose teret napada – više od 50% – su škole, univerziteti i druge obrazovne institucije, kažu istraživači. “Ovo naglašava preferenciju napadača za okruženja sa velikim brojem korisnika, naslijeđenim sistemima, manje sigurnosnog osoblja i često manje zrelom odbranom sajber sigurnosti”, navodi se u izvještaju.
Ostali sektori ciljani u kampanji koji takođe odražavaju ovu preferenciju uključuju, prema učestalosti napada: zdravstvo, vlada, tehnologija, transport, automobilska industrija i proizvodnja.
Zaista, iako i Microsoft i Abnormal Security preporučuju organizacijama da pređu na njegovu modernu platformu identiteta, Entra, za autentifikaciju, mnoge organizacije sa manje sofisticiranim IT odjelima i dalje zavise od ADFS-a i stoga ostaju ranjive, napominju istraživači.
“Ovo oslanjanje je posebno rasprostranjeno u sektorima sa sporijim ciklusima usvajanja tehnologije ili zavisnostima o naslijeđenoj infrastrukturi – što ih čini glavnim ciljevima za prikupljanje akreditiva i preuzimanje računa”, navodi se u izvještaju.
Međutim, čak i ako organizacija još uvijek koristi ADFS, ona i dalje može poduzeti korake da se zaštiti, kaže Grimes. On preporučuje da svi korisnici koriste “MFA otporan na phishing” kad god mogu.
Izvor: Dark Reading