Ataque Push Bombing para métodos de múltiple autenticación (MFA)
- OSIPTEL
- 31 enero 2024
El push bombing es un tipo de ataque dirigido de fatiga MFA en el que un atacante realiza múltiples intentos de inicio de sesión en el portal SSO del objetivo o en aplicaciones y servicios corporativos expuestos públicamente. Se utiliza con contraseñas robadas o filtradas contra MFA tradicional (contraseña + segundo factor). Una vez que el atacante ha ingresado el primer factor (nombre de usuario y contraseña), solo necesita que el usuario apruebe el segundo factor enviado a su teléfono (o correo) para acceder a los recursos de la víctima.
Este tipo de «bombardeo» funciona porque los usuarios acceden a muchas aplicaciones diferentes y tienen que volver a autenticarse varias veces al día. Esta repetición crea memoria muscular que puede hacer que los usuarios aprueben cualquier mensaje push. O, como implica la palabra «bomba», los atacantes envían solicitudes continuas. La frustración exacerba la paciencia del usuario, lo que lo lleva a hacer clic en cualquier mensaje recibido.
Para los intrusos avanzados que buscan persistencia, el siguiente paso es cambiar las credenciales de la cuenta o los perfiles de MFA para apropiarse de la cuenta como punto de partida para un movimiento lateral hacia activos comerciales más interesantes. Lo que atrae a los atacantes a esta técnica es que es fácil, en muchos casos, no se requiere malware ni infraestructura de phishing de intermediario (MiTM) para que funcione.
¿Cómo funciona el ataque push bombing?
Cuando un usuario activa el MFA en una cuenta, generalmente recibe un código o una solicitud de autorización. El usuario ingresa sus credenciales de acceso. A continuación, el sistema envía una solicitud de autorización al usuario para completar su inicio de sesión. El código MFA o la solicitud de aprobación generalmente llegan a través de algún tipo de mensaje «push». Los usuarios pueden recibirlo de varias formas, como SMS/texto, notificación de una aplicación, correo electrónico, etc.
Con el push bombing, los atacantes comienzan con las credenciales del usuario. Pueden obtenerlas a través de phishing o de una filtración masiva de datos. Luego, intentan acceder a la cuenta muchas veces. Esto envía varias notificaciones push al usuario legítimo, una tras otra. Muchas personas cuestionan la recepción de un código inesperado que no solicitaron. Pero cuando alguien es bombardeado con muchas notificaciones, puede ser fácil hacer clic por error para aprobar el acceso.
Al principio, los ataques son simples contra un empleado para engañarlo rápidamente; sin embargo, estos ataques suelen ser puntos de entrada para un ataque dirigido contra el empleador de la víctima o hacia arriba en la cadena de suministro hacia clientes empresariales más grandes. El ataque está documentado en el MITRE ATT&CK Framework como T1621 (Generación de solicitud de autenticación multifactor) y generalmente consta de cinco partes:
1. Reconocimiento: el atacante investiga el flujo de trabajo del objetivo y los recursos expuestos públicamente.
2. Acceso a credenciales: el atacante obtiene las credenciales del objetivo mediante phishing, robo de contraseñas o búsqueda en la web.
3. Acceso inicial: el atacante inicia solicitudes de acceso a los recursos expuestos de las víctimas, lo que activa múltiples notificaciones push a la víctima con la intención de engañarla. Pueden utilizar llamadas falsas al servicio de asistencia de TI que dicen: «Necesitamos que apruebe esa solicitud» o exacerbar al objetivo para que apruebe accidentalmente o por frustración el reconocimiento del segundo factor.
4. Movimiento lateral: el atacante pasa a un estado de intruso y, en muchos casos, se mueve lateralmente a través de la empresa hacia activos más valiosos.
5. Impacto: el intruso desencadena cargas útiles de ransomware, extrae datos o instala puertas traseras para agregarlas al grupo de propiedades del agente de acceso inicial.
¿Cómo evitar los ataques push bombing?
Los ataques push bombing se pueden detener mediante la combinación de la educación de los usuarios y tecnologías MFA reforzadas. Para el personal que no pertenece a la seguridad, esto puede ser considerado de baja prioridad al realizar su trabajo. La concientización de los usuarios sobre los ataques de ingeniería social es esencial para reducir la probabilidaddel éxito de los atacantes».
Fuente: https://blog.segu-info.com.ar/2024/01/ataques-de-push-bombing-en-metodos-de.html
Deja una respuesta