Les pirates informatiques malveillants ciblent les utilisateurs d’Office 365 avec une réserve d ‘«attaques de fatigue MFA», bombardant les victimes avec des notifications push 2FA pour les inciter à authentifier leurs tentatives de connexion.

C’est selon les chercheurs de GoSecure, qui ont averti qu’il y a une augmentation des attaques qui exploitent le comportement humain pour accéder aux appareils.

La fatigue de l’authentification multifacteur (MFA) est le nom donné à une technique utilisée par les adversaires pour inonder l’application d’authentification d’un utilisateur de notifications push dans l’espoir qu’il acceptera et permettra donc à un attaquant d’accéder à un compte ou à un appareil.

Dans un blog publié plus tôt cette semaineGoSecure a qualifié l’attaque de « simple », étant donné qu' »elle ne demande qu’à l’attaquant d’envoyer manuellement, voire automatiquement, des notifications push répétées tout en essayant de se connecter au compte de la victime ».

Cela nécessite que l’attaquant dispose des informations d’identification de la victime, qui « pourraient être obtenues par force brute, réutilisation du mot de passe ou pulvérisation ».

« Une fois que l’attaquant obtient des informations d’identification valides, il effectuera le spam de notification push à plusieurs reprises jusqu’à ce que l’utilisateur approuve la tentative de connexion et permette à l’attaquant d’accéder au compte.

« Cela se produit généralement parce que l’utilisateur est distrait ou submergé par les notifications et, dans certains cas, cela peut être interprété à tort comme un bogue ou confondu avec d’autres demandes d’authentification légitimes. »

« Fais-le disparaître »

GoSecure a noté que l’attaque est particulièrement efficace – non pas à cause de la technologie impliquée, mais parce qu’elle cible le facteur humain via l’ingénierie sociale.

« De nombreux utilisateurs de MFA ne sont pas familiers avec ce type d’attaque et ne comprendraient pas qu’ils approuvent une notification frauduleuse », ont écrit les chercheurs.

« D’autres veulent juste le faire disparaître et ne sont tout simplement pas conscients de ce qu’ils font puisqu’ils approuvent tout le temps des notifications similaires. Ils ne peuvent pas voir à travers la « surcharge de notifications » pour repérer la menace. »

A NE PAS MANQUER La confusion des dépendances en tête de la liste annuelle de piratage Web de PortSwigger pour 2021

La technique a été repérée ces dernières années dans la nature, y compris lors d’une campagne de 2021 lorsque des agents russes ont été vus ciblant les utilisateurs d’Office 365 via des notifications push.

Les recherches de Mandiant ont détaillé comment les acteurs de la menace ont été observés en train d’exécuter plusieurs tentatives d’authentification en une courte succession sur des comptes sécurisés avec MFA.

« Dans ces cas, l’acteur de la menace avait une combinaison de nom d’utilisateur et de mot de passe valide », un article de blog lit.

« De nombreux fournisseurs MFA permettent aux utilisateurs d’accepter une notification push d’application téléphonique ou de recevoir un appel téléphonique et d’appuyer sur une touche comme deuxième facteur.

« L’acteur de la menace en a profité et a envoyé plusieurs demandes MFA à l’appareil légitime de l’utilisateur final jusqu’à ce que l’utilisateur accepte l’authentification, permettant à l’acteur de la menace d’accéder éventuellement au compte. »

PoC AMF

GoSecure a publié une preuve de concept qui démontre comment l’attaque fonctionne en temps réel :

Les chercheurs ont également détaillé comment un utilisateur d’Office 365 peut détecter plusieurs tentatives de notification push et conseillé sur la façon d’atténuer les attaques de cette nature.

Par exemple, un utilisateur peut configurer les limites par défaut du service MFA pour autoriser un nombre maximal de tentatives de notification push dans un certain laps de temps.

Ils pourraient également aider à empêcher l’accès par inadvertance à leur compte en utilisant la méthode de vérification de connexion par téléphone.

GoSecure explique : « Dans ce scénario, un numéro unique à deux chiffres est généré et doit être confirmé des deux côtés.

« Il est très difficile pour un attaquant de faire un compromis car on lui montre un numéro qui doit être deviné dans le téléphone (auquel l’attaquant n’a pas accès). »

Enfin, un « mouvement radical, mais une solution rapide » pourrait être de désactiver complètement les notifications push.

GoSecure a averti : « Alors que les mécanismes d’authentification basés sur les applications sont de plus en plus adoptés comme un moyen plus sûr d’authentifier un utilisateur (par rapport aux SMS ou aux appels téléphoniques), on s’attend à ce que cette tendance se développe à l’avenir, voire à être encouragée par Microsoft lui-même ».