MFA Prompt Bombing est une méthode d'attaque efficace utilisée par les attaquants pour accéder à un système protégé par l'authentification multifacteur (MFA). L'attaquant envoie un grand nombre de demandes d'approbation MFA à un utilisateur afin de le submerger de demandes. Un clic erroné et un attaquant a accès.
Quel que soit le niveau de harcèlement du MFA Prompt Bombing, l'objectif est que l'utilisateur accepte la demande MFA et accorde l'accès aux comptes ou fournisse un moyen d'exécuter du code malveillant sur un système ciblé. L'industrie de la sécurité considère les attaques à la bombe rapides de la MFA comme une forme d'ingénierie sociale. Ce vecteur d'attaque bien connu n'a gagné en popularité parmi les attaquants qu'au cours des deux dernières années, et pourtant de nombreux utilisateurs et équipes de sécurité ignorent encore cette technique d'attaque.
Bombardement rapide du MFA en action
L'une des attaques de bombardement rapide MFA les plus connues a été menée par le groupe de piratage Lapsus $. Leurs actions ont mis en évidence les faiblesses de certains paramètres, notamment les notifications push. Lors de leurs récentes attaques réussies, le groupe de pirates a bombardé les utilisateurs de demandes jusqu'à ce que les victimes finissent par approuver l'accès. Le groupe a également profité de la capacité des fournisseurs MFA à permettre aux employés de recevoir un appel téléphonique vers un appareil autorisé pour l'authentification et d'appuyer sur une touche spécifique comme deuxième facteur.
Une déclaration publiée par un membre de Lapsus$ sur le canal de discussion Telegram du groupe illustre la tactique effrontée des cybercriminels : "Il n'y a pas de limite au nombre d'appels que vous pouvez passer. Si vous appelez l'employé 100 fois à 1h du matin alors qu'il essaie de dormir, il acceptera très probablement. Une fois que l'agent répond au premier appel, vous pouvez accéder au portail d'inscription MFA et inscrire un autre appareil. »
Équilibre entre convivialité et sécurité
Avec la notoriété croissante des attaques par bombardement rapide MFA, certaines organisations ont décidé de désactiver les notifications push pour les demandes d'authentification et d'appliquer à la place des mots de passe à usage unique (OTP). Ceux-ci sont destinés à rendre plus difficile pour les attaquants l'accès aux informations et ressources sensibles, mais entraînent une expérience utilisateur plus médiocre car les utilisateurs doivent fournir des informations de connexion supplémentaires, telles qu'un code numérique envoyé par SMS.
Bien qu'OTP puisse être un peu plus sécurisé que les notifications push, il dégrade l'expérience utilisateur. Les entreprises doivent veiller à trouver le bon équilibre entre convivialité et sécurité.
Ce que les entreprises peuvent faire contre les attaques à la bombe rapides de la MFA
Au lieu de passer à OTP, il est préférable de refuser automatiquement les notifications push MFA lorsqu'un certain nombre de notifications est dépassé. Ainsi, en cas d'attaque, un utilisateur final ne recevra que quelques notifications MFA, tandis que l'équipe de sécurité sera alertée du flot de demandes MFA dans les journaux d'activité de l'utilisateur en coulisses.
Lorsqu'il s'agit de trouver le bon niveau de sécurité et de facilité d'utilisation pour la protection MFA, les notifications push restent la solution recommandée. Cependant, ils doivent être mis en œuvre avec les bonnes mesures de sécurité.
Protection complète de l'identité
Pour garantir une protection complète de l'identité, déployez une plate-forme de protection contre les menaces d'identité spécialement conçue pour la prévention, la détection et la réponse en temps réel aux attaques basées sur l'identité qui utilisent à mauvais escient des informations d'identification compromises pour accéder à des ressources ciblées. Une telle solution de protection contre les menaces d'identité empêche les attaques basées sur l'identité grâce à une surveillance continue, une analyse des risques et l'application en temps réel des politiques d'accès Zero Trust pour chaque utilisateur, système et environnement sur site et dans le cloud. La technologie garantit une protection MFA de bout en bout et une surveillance continue de toutes les authentifications sur site et dans le cloud.
Pour fournir une protection dédiée contre les attaques par bombardement rapide MFA, la technologie permet un blocage adaptatif : après un certain nombre de demandes MFA rejetées dans un court laps de temps, l'utilisateur n'est plus interrogé et les demandes sont automatiquement rejetées.
Protéger les politiques basées sur les risques
En outre, des stratégies basées sur les risques peuvent être créées pour détecter et prévenir les risques d'activité anormale de MFA, par exemple lorsque les utilisateurs reçoivent un nombre inhabituel de demandes sur une courte période. Cela permet aux administrateurs de s'assurer que les utilisateurs non autorisés n'ont pas accès aux ressources de l'entreprise.
De plus, cette solution permet l'identification automatique des activités malveillantes et des risques de toutes les demandes d'authentification des utilisateurs et fournit des informations détaillées sur chaque demande MFA refusée. Les administrateurs peuvent surveiller toutes les demandes d'accès via des rapports quotidiens ou en transférant les événements syslog à leur SIEM.
Les attaques d'ingénierie sociale telles que MFA Prompt Bombing tentent spécifiquement d'exploiter les faiblesses humaines. Par conséquent, en plus des précautions techniques de sécurité, les employés doivent toujours recevoir des informations complètes afin qu'ils soient préparés à ce type d'attaque. Grâce aux mesures ci-dessus, les entreprises peuvent renforcer leur résilience contre les attaques à la bombe rapides et rendre beaucoup plus difficile pour les attaquants de contourner la protection MFA.
Plus sur SilverFort.com
À propos de Silverfort Silverfort fournit la première plate-forme de protection d'identité unifiée qui consolide les contrôles de sécurité IAM sur les réseaux d'entreprise et les environnements cloud pour atténuer les attaques basées sur l'identité. À l'aide d'une technologie innovante sans agent et sans proxy, Silverfort s'intègre de manière transparente à toutes les solutions IAM, unifiant leur analyse des risques et leurs contrôles de sécurité et étendant leur couverture aux actifs qui ne pouvaient auparavant pas être protégés, tels que les applications locales et héritées, l'infrastructure informatique, les systèmes de fichiers, la ligne de commande outils, accès de machine à machine et plus encore.