MFA Fatigue: la nueva táctica favorita de los hackers para ataques de alto perfil

Los hackers utilizan con mayor frecuencia ataques de ingeniería social para obtener acceso a las credenciales corporativas y vulnerar grandes redes. Un componente de estos ataques que se está volviendo más popular con el auge de la autenticación de múltiples factores es una técnica llamada MFA Fatigue.

Al vulnerar las redes corporativas, los hackers suelen utilizar las credenciales de inicio de sesión de los empleados robadas para acceder a las VPN y la red interna.

La realidad es que obtener credenciales corporativas no es difícil para los atacantes. Ellos pueden usar varios métodos, incluidos ataques de phishing, malware, credenciales filtradas por infracciones de datos o comprarlas en mercados de la web oscura.

Para contrarrestar esto, las empresas han adoptado cada vez más la autenticación multifactor para evitar que los usuarios inicien sesión en una red sin ingresar primero una forma adicional de verificación. Esta información adicional puede ser un código de acceso único, un mensaje que le pide que verifique el intento de inicio de sesión o el uso de claves de seguridad de hardware.

Si bien los atacantes pueden usar numerosos métodos para evadir la autenticación multifactor, la mayoría giran en torno al robo de cookies. Este robo se puede lograr a través de malware o herramientas de ataque intermediario de phishing, como evilginx2.

Sin embargo, una técnica de ingeniería social llamada ‘MFA Fatigue’, también conocida como ‘MFA push spam’, se está volviendo más popular entre los atacantes. Esta técnica no requiere infraestructura de malware o phishing y ha demostrado ser exitosa en los ataques.

¿Qué es MFA Fatigue (fatiga MFA)?

Cuando la autenticación multifactor de una organización está configurada para usar notificaciones “push”, el empleado ve un mensaje en su dispositivo móvil cuando alguien intenta iniciar sesión con sus credenciales. Estas notificaciones automáticas de MFA le piden al usuario que verifique el intento de inicio de sesión y mostrarán dónde se intenta iniciar sesión, tal como se muestra a continuación.

Un ataque de MFA Fatigue ocurre cuando un atacante ejecuta una secuencia de comandos que intenta iniciar sesión con credenciales robadas una y otra vez. Es decir, esto provoca que se envíe lo que parece un flujo interminable de solicitudes de inserción de MFA al dispositivo móvil del propietario de la cuenta.

El objetivo es mantener esto, día y noche, para romper la postura de seguridad cibernética del objetivo e infligir una sensación de “fatiga” con respecto a estas indicaciones de MFA.

Puedes ver una demostración de un ataque de MFA Fatigue, o spam MFA, en este video de YouTube creado por la empresa de soporte de ciberseguridad Reformed IT.

En muchos casos, los atacantes envían notificaciones de MFA repetidas y luego se comunican con el objetivo a través de correo electrónico,  plataformas de mensajería o por teléfono,  fingiendo ser soporte informático para convencer al usuario de que acepte el mensaje de MFA.

En última instancia, los objetivos se sienten tan abrumados que accidentalmente hacen clic en el botón “Aprobar”. También puede suceder que simplemente aceptan la solicitud de MFA para detener la avalancha de notificaciones que estaban recibiendo en su teléfono. 

Grupos de hackers al ataque

Este tipo de técnica de ingeniería social ha demostrado ser muy exitosa por parte de los ciberdelincuentes de Lapsus$ y Yanluowang. Estos grupos han vulnerado  organizaciones grandes y conocidas, como  Microsoft ,  Cisco y recientemente Uber.

Por lo tanto, si eres un empleado que es el objetivo de un ataque de fatiga/spam de MFA y recibe un aluvión de notificaciones automáticas de MFA, no entres en pánico. Cálmate, no apruebes la solicitud de MFA y no hables con personas desconocidas que afirman ser de tu organización.

En su lugar, comunícate con los administradores de informática conocidos de tu empresa, tu departamento de informática o tus supervisores. Específicamente, debes explicarles que crees que tu cuenta ha sido comprometida y está bajo ataque. También debes cambiar la contraseña de tu cuenta si es posible para evitar que el hacker continúe iniciando sesión y genere más notificaciones automáticas de MFA.

Una vez que hayas cambiado tu contraseña, el atacante ya no podrá emitir spam de MFA. Esto te dará a ti y a tus administradores espacio para respirar mientras se investiga el incidente.

Consejos de los profesionales

No pretendemos ser expertos en autenticación de múltiples factores o administración de identidad. No obstante algunos expertos, tuvieron la amabilidad de compartir sus recomendaciones. 

Los profesionales de seguridad recomiendan deshabilitar las notificaciones MFA Push y, si eso no es posible, habilitar la coincidencia de números para aumentar la seguridad.

La coincidencia de números MFA de Microsoft , también conocida como  Verified Push  en Duo, es una función que muestra una serie de números a un usuario que intenta iniciar sesión con sus credenciales. Luego, estos números deben ingresarse en la aplicación de autenticación del propietario de la cuenta en su dispositivo móvil para verificar que están iniciando sesión en la cuenta.

Es importante mencionar que solo la persona que inicia sesión en la cuenta verá estos números. Es decir, cualquier intento de convencer a un usuario para que los ingrese en su aplicación de autenticación debe verse inmediatamente como sospechoso, especialmente si ese intento de inicio de sesión es de otro país.

Microsoft planea habilitarlo de forma predeterminada  para todos los inquilinos de Azure Active Directory poco después de que la función esté disponible de forma general.

Otra sugerencia es limitar la cantidad de solicitudes de autenticación MFA por usuario. Y, cuando se excedan esos umbrales, bloquear las cuentas o generar alertas al administrador del dominio.

Algunos sugieren que la empresa  se cambie a las claves de seguridad de hardware FIDO para asegurar los inicios de sesión. Sin embargo, a otros investigadores y profesionales de la seguridad les preocupa que aún sea demasiado pronto para requerir su adopción y es posible que no sea compatible con algunos servicios en línea.

Recomendaciones de las empresas

Si tu organización puede superar las complejidades de requerir solo claves de seguridad para los inicios de sesión, entonces esta puede ser una dirección que puedes tomar para aumentar la seguridad de inicio de sesión.

Finalmente, Microsoft Okta, compartieron recomendaciones para mitigar estos ataques:

Microsoft:

En respuesta a las preguntas sobre la mejor manera de mitigar los ataques de MFA Fatigue, Alex Weinert, director de seguridad de identidad de Microsoft, compartió los siguientes consejos:

1. Microsoft recomienda enfáticamente eliminar cualquier factor que dependa de simples aprobaciones. Las aprobaciones deben requerir que el usuario tenga un contexto comprobable en la solicitud de inicio de sesión. Las aprobaciones clásicas de “OTP” en las que el usuario tiene que ingresar la información proporcionada en la solicitud de autenticación son excelentes, al igual que los requisitos para ingresar información de pantalla en ese dispositivo de autenticación.
2. Reiteramos que el mecanismo más efectivo es evitar métodos que permitan simples aprobaciones sujetas a fatiga. En Microsoft Authenticator, además de los mecanismos anteriores, estamos suprimiendo las notificaciones que se originan con características desconocidas para el buen usuario, en lugar de pedirle al usuario que verifique la aplicación.
3. Azure AD proporciona niveles de riesgo en cada inicio de sesión, y los intentos de inicio de sesión que muestren riesgo junto con métodos MFA de aprobación simple deben investigarse. Esto para asegurarse de que no se haya indicado un ataque de MFA fatigue. 
4. En términos generales, muchas organizaciones han implementado MFA “en capas” que agregó una llamada telefónica o un mensaje de texto a la autenticación basada en contraseña. Si bien esto es probablemente eficaz para disuadir los ataques, los atacantes están utilizando técnicas como la MFA fatigue fatiga MFA para penetrar estas defensas. Hoy en día, las soluciones sin contraseña defienden de forma efectiva tanto este como otros ataques más avanzados de adversario en el medio.

Okta:

Sumit Bahl, director de productos de seguridad de Okta, también compartió algunos consejos generales sobre cómo mitigar este ataque:

• Abogar por la educación del usuario y la preparación del usuario, ya que pueden escalar entre proveedores y tecnologías.
• Establecer umbrales y activar alarmas si los eventos superan umbrales específicos
• Pasar a factores de mayor seguridad como WebAuthn.