H εταιρεία έρευνας κυβερνοασφάλειας Mandiant παρατήρησε μια νέα τάση όπου οι χάκερ εκμεταλλεύονται τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για να εκμεταλλευτούν και να αποκτήσουν πρόσβαση σε αδρανείς λογαριασμούς της Microsoft. Το MFA είναι ένα σημαντικό εργαλείο που χρησιμοποιείται από οργανισμούς για τη βελτίωση της ασφάλειας και την αποτροπή επιθέσεων εξαγοράς από χάκερ. Ωστόσο, υπάρχει ένα πιάσιμο.

Οι χάκερ εκμεταλλεύονται τη διαδικασία αυτοεγγραφής στο Azure Active Directory και σε άλλες πλατφόρμες. Συνήθως, όταν ένας οργανισμός επιβάλλει για πρώτη φορά MFA, πολλές πλατφόρμες επιτρέπουν στους χρήστες τους να εγγραφούν αμέσως στη συσκευή MFA τους. Ωστόσο, στο Azure AD στην προεπιλεγμένη του διαμόρφωση, δεν υπάρχει τέτοια εγγραφή. Αυτό σημαίνει ότι οποιοσδήποτε έχει τα διαπιστευτήρια σύνδεσης για έναν λογαριασμό μπορεί να εγγραφεί στο MFA αρκεί να το κάνει για πρώτη φορά σε αυτόν τον λογαριασμό.

Η ρωσική ομάδα κατασκοπείας APT29 είχε πραγματοποιήσει νωρίτερα μια επίθεση εικασίας κωδικού πρόσβασης σε μια λίστα με email. Για λογαριασμούς που δημιουργήθηκαν αλλά δεν χρησιμοποιήθηκαν ποτέ, η ομάδα χάκερ μπόρεσε να τους χρησιμοποιήσει για πρόσβαση στην υποδομή VPN του οργανισμού. Το VPN χρησιμοποιούσε το Azure AD για έλεγχο ταυτότητας και MFA. 

Η Mandiant συνιστά στους οργανισμούς να διασφαλίζουν ότι όλοι οι ενεργοί λογαριασμοί έχουν εγγραφεί τουλάχιστον μία συσκευή MFA και να συνεργάζονται με τον προμηθευτή της πλατφόρμας τους για να προσθέσουν πρόσθετες επαληθεύσεις στη διαδικασία εγγραφής MFA. Το Microsoft Azure AD κυκλοφόρησε πρόσφατα μια δυνατότητα που επιτρέπει στους οργανισμούς να επιβάλλουν ελέγχους γύρω από συγκεκριμένες ενέργειες, όπως η εγγραφή συσκευών MFA.

Οι οργανισμοί μπορούν επίσης να περιορίσουν την τοποθεσία της εγγραφής MFA μόνο σε αξιόπιστες τοποθεσίες, όπως ένα εσωτερικό δίκτυο ή αξιόπιστες συσκευές. Μπορούν επίσης να χρησιμοποιήσουν ένα προσωρινό πάσο MFA για να εγγραφούν στο MFA όταν τα άτομα εγγραφούν για πρώτη φορά ή χάνουν τη συσκευή MFA τους.