Attaques MFA Relay – À l’ère du numérique, les menaces de cybersécurité sont devenues un problème omniprésent pour les entreprises du monde entier. De plus en plus d’entreprises s’orientant vers un environnement numérique, la nécessité de renforcer les mesures de sécurité est devenue encore plus cruciale. L’une de ces mesures de sécurité qui a gagné une immense popularité ces derniers temps est l’authentification multifactorielle (MFA).
L’AMF est une mesure de sécurité très efficace. Elle exige des utilisateurs qu’ils fournissent plus d’une forme d’identification pour accéder à une ressource. Cependant, les cyber-attaquants ont trouvé des moyens de contourner cette mesure de sécurité. Ils utilisent une nouvelle technique appelée « MFA relay attack » ou « Evilginx attack ».
Dans cet article, nous allons explorer les risques associés à l’attaque par relais MFA dans un environnement d’entreprise. Nous analyserons également l’impact qu’elle peut avoir sur la posture de sécurité d’une organisation.
Risque de compromission du compte
Dans les entreprises modernes, l’utilisation des comptes Office 365 pour l’identification des utilisateurs est très répandue. Ces comptes sont liés à l’Active Directory. Ils permettent aux entreprises de gérer efficacement les droits des utilisateurs, les politiques et autres paramètres pour tous les utilisateurs. Ces mêmes comptes sont utilisés pour accéder à diverses ressources Microsoft telles que Outlook, OneDrive et SharePoint. Ils sont également utilisés pour accéder à des services tiers ou à des applications internes grâce à la fonction d’authentification unique (SSO) de Microsoft.
Cette approche peut s’avérer très pratique pour les administrateurs, qui peuvent configurer les paramètres en un seul endroit. Ils peuvent se synchroniser avec l’ensemble de l’organisation. Il en va de même pour les utilisateurs. Ils n’ont qu’à se souvenir des informations d’identification d’un seul compte pour accéder à toutes les ressources de l’entreprise.
Toutefois, cela pose un problème de sécurité important, car un compte compromis peut exposer de nombreuses informations sensibles de l’entreprise. La protection des comptes d’utilisateurs devient cruciale pour empêcher les accès non autorisés et les violations de données.
Sécurité de l’AMF
Dans ce contexte, l’authentification multifactorielle (AMF) devient une mesure de sécurité essentielle pour protéger les comptes des utilisateurs. Cette méthode d’authentification exige que l’utilisateur fournisse au moins deux facteurs d’authentification différents pour accéder aux ressources en ligne. Les facteurs les plus couramment utilisés sont le mot de passe de l’utilisateur. Ils comprennent également l’acceptation d’une notification ou la saisie d’un mot de passe à usage unique reçu d’une application ou par SMS.
Cette couche de sécurité supplémentaire fournie par l’AMF est particulièrement efficace contre les attaques de phishing traditionnelles. Dans les scénarios où un attaquant incite une victime à accéder à une fausse page de connexion et vole son nom d’utilisateur et son mot de passe, l’attaquant ne serait pas en mesure d’utiliser ces informations d’identification sans le deuxième facteur d’authentification.
Cela fait de l’AMF un mécanisme de défense robuste contre les accès non autorisés. Il ajoute une couche supplémentaire de protection même si l’attaque initiale est réussie.
Attaque de phishing par Evilginx
Les attaques de phishing ont évolué pour contourner les mesures de sécurité de l’authentification multifactorielle (MFA) et obtenir un accès non autorisé aux comptes des utilisateurs. Les attaquants ne se contentent plus de créer de fausses pages de connexion pour tromper les victimes. La collecte des informations d’identification des utilisateurs ne suffit pas à compromettre un compte.
Au lieu de cela, ils utilisent désormais une nouvelle technique appelée « attaque par relais MFA » ou « attaque Evilginx » (d’après l’outil le plus connu pour la mettre en œuvre).
Dans le nouveau processus, l’application d’hameçonnage agit comme un proxy. Elle intercepte et transmet tout le trafic de la victime, y compris la demande et la réponse de l’AMF, à la page de connexion d’origine. Cette technique est similaire à une attaque de type « Man-in-the-Middle ». L’attaquant se positionne entre la victime et l’application de connexion légitime, ce qui lui permet d’intercepter et de surveiller tout le trafic.
Cette fois, les informations d’identification de la victime ne sont pas seulement recueillies. Elles sont également relayées en temps réel à l’application de connexion d’origine, qui lance alors le processus MFA si nécessaire. Une fois que le MFA est terminé et que la connexion est réussie, l’outil de phishing extrait les jetons d’authentification (par exemple les cookies) directement de la réponse d’origine. Le pirate peut alors saisir manuellement ces cookies dans son navigateur et obtenir un accès complet au compte professionnel de la victime.
Démonstration
Risques
Dans le cas d’un SSO tel que le login Microsoft, les risques associés à une attaque réussie sont plus importants qu’initialement prévu. En accédant au compte bureautique de la victime, l’attaquant peut effectuer des actions malveillantes, notamment
Accéder à tous les courriels et contacts et envoyer des courriels au nom de la victime.
Accès à tous les documents SharePoint, exposant potentiellement des informations sensibles de l’entreprise.
Accès à Teams, y compris l’historique complet des conversations, ce qui pourrait compromettre la communication et la collaboration au sein de l’organisation.
C’est déjà inquiétant, mais en fonction du contexte exact et des informations privilégiées potentielles que l’attaquant a pu recueillir avec les informations d’identification, d’autres attaques pourraient être possibles.
En effet, le compte compromis peut également être utilisé pour :
-Interagir avec d’autres applications web qui implémentent Microsoft SSO, comme Atlassian, les applications de planification, les applications de feuilles de temps, et plus encore, ce qui peut permettre d’obtenir un accès non autorisé à des ressources supplémentaires.
-Obtenir un accès VPN au réseau interne, ce qui permet à l’attaquant d’infiltrer l’infrastructure de l’organisation.
Connectez-vous à une machine du domaine, physiquement ou via le protocole de bureau à distance (RDP).
-Donner à l’attaquant un accès supplémentaire au poste de travail de la victime et potentiellement à d’autres systèmes au sein du réseau.
-Interagir avec un contrôleur de domaine, ce qui pourrait entraîner des modifications non autorisées des paramètres et des autorisations du réseau, causant ainsi des dommages considérables à l’environnement informatique de l’organisation.
Comment se protéger contre ce type d’attaque ?
L’attaque par relais MFA constitue une menace sérieuse pour la sécurité des entreprises. Cependant, il existe des moyens de réduire le risque associé à ce type d’attaque.
Une mesure cruciale consiste à mettre l’accent sur les campagnes de sensibilisation au phishing afin d’éduquer les employés et de les aider à identifier et à éviter d’être victimes d’attaques de phishing. Cela peut réduire considérablement le risque de compromission par les techniques d’hameçonnage standard utilisées dans les attaques de relais de l’AMF.
Pour les organisations qui utilisent Microsoft comme fournisseur d’identité (IDP) dans un environnement Microsoft 365, souscrire à des fonctionnalités telles que l’accès conditionnel Azure et les configurer correctement peut fournir une couche de sécurité supplémentaire.
Toujours dans le cadre de Microsoft, l’enregistrement des appareils autorisés dans Intune et la connexion des seuls appareils autorisés au fournisseur d’identité peuvent encore renforcer la sécurité.
Dans les scénarios pris en charge, les utilisateurs peuvent s’authentifier à l’aide d’un deuxième facteur universel (U2F) et de jetons matériels tels que Yubikey. Ces jetons matériels établissent un lien cryptographique avec le fournisseur d’identité d’origine, ce qui rend difficile l’usurpation d’identité par des acteurs menaçants.
Il est important de noter que Windows defender ATP et d’autres solutions EDR peuvent fournir une certaine protection contre les attaques par relais MFA en détectant les IDP malhonnêtes sur la base de renseignements sur les menaces, mais ils peuvent ne pas fournir une protection complète, en particulier dans les attaques ciblées où l’IP du serveur Evilginx peut ne pas être sur liste noire, et l’attaque peut quand même réussir.
Conclusion
En conclusion, l’attaque par relais de l’AMF est une menace évolutive qui représente un risque grave pour la sécurité des entreprises.
Les cyberattaquants devenant de plus en plus sophistiqués, il est essentiel pour les entreprises de mettre en œuvre des mesures de sécurité solides pour se protéger contre ces menaces.
L’AMF est une mesure de sécurité efficace, mais elle n’est pas infaillible. Les entreprises doivent compléter l’AMF par des mesures de sécurité supplémentaires, telles que des politiques d’accès conditionnel et des solutions de sécurité avancées, afin de s’assurer que leurs ressources critiques sont protégées contre les attaques par relais d’AMF et d’autres menaces émergentes.
En adoptant une approche proactive de la cybersécurité, les organisations peuvent réduire le risque de compromission et protéger leur entreprise contre les cybermenaces.
