Multifactor Authentication Phone
 
L’authentification multifactorielle ou MFA (parfois appelée 2FA) est un excellent moyen pour protéger vos comptes Office 365 contre les attaquants qui tentent d’y accéder. En tant que deuxième forme de protection, avec les mots de passe, elle fournit une étape supplémentaire dans le processus de vérification de l’identité réelle de l’utilisateur qui tente de se connecter. Il existe de nombreuses options MFA, notamment les SMS, les mots de passe à usage unique (OTP) et les notifications « push » d’une application. Si l’objectif de ces méthodes est de fournir une protection supplémentaire, les attaquants ont également commencé à chercher des moyens de compromettre ce qui devrait être une pratique améliorant la sécurité. Dans ce cas-ci, nous examinons l’épuisement lié aux MFA en nous concentrant sur un vecteur d’attaque actuel, soit le spamming par notification « push ». Nous décrirons ce qu’est l’épuisement lié aux MFA, comment il se produit et nous détaillerons les étapes que les professionnels de l’informatique doivent suivre afin de détecter cette attaque au sein de leur organisation et de l’atténuer.

 

Campagnes d’attaque actuelles

GoSecure Titan Labs a identifié de nouveaux vecteurs de menace utilisant des attaques d’épuisement lié aux MFA sur la base d’enquête récente. Notre équipe a également observé une augmentation significative du nombre d’attaques réalisées à l’aide de cette technique.

Dans la nature, des acteurs malveillants connus et très motivés utilisent activement ce type de méthode pour s’introduire dans les comptes Office 365 et compromettre des organisations entières. Les mécanismes d’authentification basés sur les applications étant de plus en plus adoptés comme un moyen plus sûr d’authentifier un utilisateur (par rapport à un SMS ou un appel téléphonique), cette tendance devrait éventuellement s’accentuer, voire être encouragée par Microsoft lui-même.

 

Qu’est-ce que l’épuisement lié aux MFA?

Le terme « épuisement lié aux MFA » fait référence à la surcharge de notifications ou de sollicitations via les applications MFA, dans plusieurs comptes, que l’utilisateur reçoit au cours de la journée pour effectuer des connexions ou approuver différentes actions. Elle ne doit pas être confondue avec l’épuisement lié aux mots de passe, dans laquelle l’utilisateur est submergé par le nombre de mots de passe ou de codes PIN qu’il doit retenir pour plusieurs comptes ou événements. L’épuisement lié aux MFA et l’épuisement liés aux mots de passe partagent un thème similaire, à savoir que l’utilisateur est « épuisé » (ou submergé par le volume) et qu’il commence à mettre de côté les meilleures pratiques de sécurité et devient négligent, mettant son organisation et ses comptes en danger de compromission. 

Tel que mentionné précédemment, l’MFA peut utiliser divers moyens pour authentifier l’utilisateur, tels que des messages SMS ou des appels téléphoniques où l’utilisateur certifie son identité via un numéro de téléphone préconfiguré. Le mot de passe à usage unique (One Time Password ou OTP) est un autre moyen de vérifier l’identité de l’utilisateur en générant un code qui est mis à jour à intervalles fixes. Les notifications « push » d’une application constituent un autre choix. C’est la méthode d’authentification sur laquelle nous allons nous concentrer, car elle permet à un attaquant de réaliser une attaque par spamming de notification « push ».

 

Qu’est-ce que le spamming par notification « push »?

Cette technique est simple puisqu’il suffit à l’attaquant d’envoyer manuellement, ou même automatiquement, des notifications « push » répétées tout en essayant de se connecter au compte de la victime. Les informations d’identification utilisées peuvent être obtenues par “brute forcing”, réutilisation de mot de passe ou pulvérisation. Une fois que l’attaquant a obtenu des informations d’identification valides, il envoie des notifications répétées jusqu’à ce que l’utilisateur approuve la tentative de connexion et lui permette d’accéder à son compte. Cela se produit généralement parce que l’utilisateur est distrait ou submergé par les notifications et, dans certains cas, celles-ci peuvent être interprétées à tort comme un bug ou confondues avec d’autres demandes d’authentification légitimes. 

Cette attaque est particulièrement efficace, non pas en raison de la technologie utilisée, mais parce qu’elle vise le facteur humain de l’MFA. De nombreux utilisateurs ne sont pas familiers avec ce type d’attaque et ne comprendraient pas qu’ils approuvent une notification frauduleuse. D’autres veulent juste la faire disparaître et ne sont tout simplement pas conscients de ce qu’ils font puisqu’ils approuvent des notifications similaires en permanence. Ils ne peuvent pas voir à travers la « surcharge de notification » pour repérer la menace. 

 

La vidéo est présentée en anglais.

 

Comment détecter les tentatives multiples de notifications « push » dans Microsoft 365?

Heureusement, ce type d’attaque peut être détecté directement depuis le portail Azure en inspectant les « Sign-in Logs ». Nous recommandons vivement aux professionnels de l’informatique de prendre les mesures suivantes: 

  1. Accédez au centre d’administration d’Azure Active Directory.
  2. Sous la rubrique « Monitoring », vous trouverez « Sign-in Logs », où sont journalisées les informations relatives aux ouvertures de session et aux ressources des utilisateurs.
  3. Filtrez ensuite le « Status » des ouvertures de session par « Failure » pour obtenir une liste de notifications « push » MFA refusées.
  4. À partir de là, commencez à examiner chaque activité individuellement en allant dans les « Authentication Details ».
  5. Plusieurs événements devraient être vus comme une « Mobile app notification » dans la colonne «  Authentication Method ».
  6. Le spamming des notifications « push » doit être « false » dans la colonne «  Succeed and MFA denied; user declined the authentication  » en dessous de « Result ».Activity Details logs

 

Log Analytics & Sentinel

Azure Log Analytics peut également être utilisé pour analyser les requêtes à la recherche de ce type de comportement. Une requête de ce type permet de récupérer de nombreuses informations qui peuvent être utilisées pour détecter ces attaques: 

SigninLogs 
| where TimeGenerated >= ago(31d) 
| where ResultType == 500121 
| where Status has "MFA Denied; user declined the authentication" 

Cette requête devrait permettre de récupérer les entrées découvertes au cours du dernier mois et peut également être personnalisée afin de permettre la récupérer d’encore plus de résultats ou bien de « create alert rules » pour être prévenu, le tout, en fonction des résultats de recherches. 

Si Azure Sentinel est utilisé, les requêtes de chasse à la menace peuvent être appliquées pour attraper, alerter et même atténuer ces attaques en mettant en œuvre des « playbooks » en réponse aux correspondances. Vous trouverez quelques exemples dans le « Azure Sentinel hunting queries repository ».

 

De quelle manière limiter le spamming des notifications « push »

Il existe de nombreuses façons d’atténuer ce type d’attaque. Nous allons en présenter quelques-unes afin que les administrateurs de la plateforme M365 puissent choisir celles qui correspondent à leurs besoins. Nous allons nous concentrer sur les notifications « push », puisque les règles de complexité des mots de passe et les mesures d’atténuation de la réutilisation des mots de passe devraient déjà être en place. 

 

Configuration des limites de service

Un moyen efficace de protéger vos comptes Microsoft 365 contre cette attaque consiste à configurer les limites par défaut du service d’authentification multifactorielle. Ces limites, par défaut et maximales, se trouvent dans la « Azure Sentinel hunting queries repository ».

 

Inscription par téléphone

Un utilisateur peut empêcher l’accès par inadvertance à son compte en utilisant la méthode de vérification de la connexion par téléphone de Microsoft Authenticator. Dans ce scénario, un numéro unique de deux chiffres est généré et doit être confirmé des deux côtés. Il est très difficile pour un attaquant de compromettre cette méthode, qui consiste à montrer à l’attaquant un numéro qui doit être deviné dans le téléphone (auquel l’attaquant n’a pas accès). Seul l’attaquant connaîtra le numéro et pour autoriser l’accès, l’utilisateur devra choisir un numéro parmi trois options. De cette façon, les possibilités d’approbation de l’accès sont réduites. Vous pouvez en savoir plus sur cette méthode de vérification en cliquant ici

 

Phone Sign-in

Gracieuseté de Microsoft.

 

Désactiver les notifications « push » comme méthode de vérification

Il s’agit d’un changement radical, mais d’une solution rapide qui désactivera l’utilisation de la notification « push » comme méthode de vérification. Les étapes à suivre pour effectuer ce changement sont les suivantes: 

  1. Allez dans le centre d’administration « Azure Active Directory ».
  2. Sélectionner « Per-user MFA ».
  3. Sous « Multi-factor Authentication », en haut de la page, sélectionnez « Service Settings ».
  4. Sur la page « Service Settings », sous « verification options », décochez la case « Notification through mobile app ».
  5. Cliquez ensuite sur « Save ».

 

Conclusion 

Tel qu’abordé dans ce post, l’épuisement lié aux MFA est une préoccupation réelle comportant des implications potentielles pour compromettre les comptes Microsoft Office 365. Il existe cependant de nombreuses façons de se protéger contre l’épuisement lié aux MFA et l’augmentation actuelle des attaques de spamming de notification « push ». Pour en savoir plus sur les dernières mises à jour et recherches de GoSecure Titan Labs, consultez régulièrement ce blog et suivez GoSecure sur Twitter et LinkedIn

Détection et réponse gérées Titan
Antivirus de nouvelle génération
Détection et réponse sur les terminaux
Détection et réponse sur le réseau
Détection et réponse sur les boîtes de messagerie
Détection et réponse face aux menaces internes
Gestion des pare-feu
Gestion des SIEM
La gestion des vulnérabilités en tant que service
GoSecure Titan
Logiciel Titan
Sécurité de la messagerie
Sécurité Web
Boîte à outils «Responder PRO Forensics»
Services professionnels
Services de préparation aux brèches
Les services-conseils personnalisés en cybersécurité
Évaluation de la cybersécurité
Services de réponse aux incidents
Services des équipes « Red & Purple »
Services de tests d'intrusion
Services de conformité et d'audit
Évaluation de la compromission de la sécurité
Technologies tierces

Pin It on Pinterest

Share This