MFA Relay attacks – In het huidige digitale tijdperk zijn cyberbeveiligingsbedreigingen een alomtegenwoordig probleem geworden voor bedrijven over de hele wereld. Nu steeds meer bedrijven overstappen op een digitale omgeving, is de behoefte aan sterkere beveiligingsmaatregelen nog belangrijker geworden. Eén zo’n beveiligingsmaatregel die de laatste tijd enorm aan populariteit heeft gewonnen, is Multi-Factor Authenticatie (MFA).
MFA is een zeer effectieve beveiligingsmaatregel. Het vereist dat gebruikers meer dan één vorm van identificatie opgeven om toegang te krijgen tot een bron. Cyberaanvallers hebben nu echter manieren gevonden om deze beveiligingsmaatregel te omzeilen. Ze gebruiken een nieuwe techniek genaamd de MFA relay aanval of de Evilginx aanval.
In dit artikel onderzoeken we de risico’s van de MFA relay aanval in een bedrijfsomgeving. We analyseren ook de impact die deze aanval kan hebben op de beveiliging van een organisatie.
Risico op compromittering van accounts
In de moderne bedrijfsomgeving van vandaag is het gebruik van Office 365 accounts voor gebruikersidentificatie wijdverspreid. Deze accounts zijn gekoppeld aan de Active Directory. Ze stellen bedrijven in staat om gebruikersrechten, beleidsregels en andere instellingen voor alle gebruikers efficiënt te beheren. Dezelfde accounts worden gebruikt om toegang te krijgen tot verschillende Microsoft-bronnen zoals Outlook, OneDrive en SharePoint. Ze worden ook gebruikt om toegang te krijgen tot diensten van derden of interne toepassingen via de SSO-functie (Single Sign-On) van Microsoft.
Deze aanpak kan erg praktisch zijn voor beide beheerders, die de instellingen op één centrale plaats kunnen configureren. Ze kunnen in de hele organisatie worden gesynchroniseerd. Hetzelfde geldt voor gebruikers. Ze hoeven slechts de referenties voor één account te onthouden om toegang te krijgen tot alle bronnen van het bedrijf.
Dit creëert echter een aanzienlijke beveiligingsuitdaging, omdat een gecompromitteerde account veel gevoelige bedrijfsinformatie kan blootleggen. Het beveiligen van gebruikersaccounts wordt cruciaal om onbevoegde toegang en datalekken te voorkomen.
MFA Beveiliging
In deze context wordt Multi-Factor Authenticatie (MFA) een kritieke beveiligingsmaatregel om gebruikersaccounts te helpen beschermen. Deze authenticatiemethode vereist dat de gebruiker minstens twee verschillende authenticatiefactoren opgeeft om toegang te krijgen tot online bronnen. De meest gebruikte factoren zijn het wachtwoord van de gebruiker. Het omvat ook het accepteren van een melding of het invoeren van een eenmalig wachtwoord, ontvangen van een app of via sms.
Deze extra beveiligingslaag die MFA biedt, werkt vooral goed tegen traditionele phishingaanvallen. In scenario’s waarbij een aanvaller een slachtoffer naar een valse inlogpagina lokt en zijn gebruikersnaam en wachtwoord steelt, kan de aanvaller deze gegevens niet gebruiken zonder de tweede authenticatiefactor.
Dit maakt MFA een robuust verdedigingsmechanisme tegen ongeautoriseerde toegang. Het voegt een extra beschermingslaag toe, zelfs als de eerste aanval succesvol is.
Evilginx Phishing-aanval
Phishing-aanvallen zijn geëvolueerd om de beveiligingsmaatregelen van Multi-Factor Authenticatie (MFA) te omzeilen en ongeautoriseerde toegang te krijgen tot gebruikersaccounts. Aanvallers vertrouwen niet langer op het opzetten van valse inlogpagina’s om de slachtoffers te misleiden. Het verzamelen van gebruikersgegevens alleen is niet genoeg om een account te compromitteren.
In plaats daarvan gebruiken ze nu een nieuwe techniek genaamd “MFA relay attack” of “Evilginx attack” (gebaseerd op de meest bekende tool om het te implementeren).
In het nieuwe proces fungeert de phishing-toepassing als een proxy. Het onderschept al het verkeer van het slachtoffer, inclusief het MFA-verzoek en -antwoord, en stuurt het door naar de oorspronkelijke aanmeldpagina. Deze techniek is vergelijkbaar met een Man-in-the-Middle aanval. De aanvaller positioneert zichzelf tussen het slachtoffer en de legitieme aanmeldapplicatie, waardoor hij al het verkeer kan onderscheppen en controleren.
Dit keer worden niet alleen de gegevens van het slachtoffer verzameld. Ze worden ook in real-time doorgestuurd naar de oorspronkelijke aanmeldapplicatie, die vervolgens indien nodig het MFA-proces in gang zet. Zodra de MFA is voltooid en de aanmelding succesvol is, haalt het phishingprogramma de authenticatietokens (bijv. cookies) direct uit het oorspronkelijke antwoord. De hacker kan deze cookies vervolgens handmatig invoeren in zijn browser en volledige toegang krijgen tot de kantooraccount van het slachtoffer.
Demo
Risico’s
In het geval van SSO, zoals Microsoft login, zijn de risico’s van een succesvolle aanval groter dan aanvankelijk gedacht. Met toegang tot het kantooraccount van het slachtoffer kan de aanvaller kwaadaardige acties uitvoeren, waaronder:
Toegang krijgen tot alle e-mails en contacten en e-mails versturen namens het slachtoffer.
Toegang tot alle SharePoint-documenten, waardoor gevoelige bedrijfsinformatie mogelijk wordt blootgelegd.
Toegang tot Teams, inclusief de volledige chatgeschiedenis, wat de communicatie en samenwerking binnen de organisatie in gevaar kan brengen.
Dit is al verontrustend, maar afhankelijk van de exacte context en de mogelijke bevoorrechte informatie die de aanvaller heeft kunnen verzamelen met de inloggegevens, zijn er mogelijk nog andere aanvallen mogelijk.
De gecompromitteerde account kan namelijk ook worden gebruikt om:
-Interactie met andere webapplicaties die Microsoft SSO implementeren, zoals Atlassian, planningsapps, timesheet-apps en meer, waardoor onbevoegden mogelijk toegang krijgen tot extra bronnen.
VPN-toegang krijgen tot het interne netwerk, waardoor de aanvaller kan infiltreren in de infrastructuur van de organisatie.
-inloggen op een domeinmachine, fysiek of via Remote Desktop Protocol (RDP)
-De aanvaller verdere toegang geven tot het werkstation van het slachtoffer en mogelijk tot andere systemen binnen het netwerk.
-Interactie met een Domain Controller , wat kan leiden tot ongeautoriseerde wijzigingen in netwerkinstellingen en -rechten, waardoor wijdverspreide schade aan de IT-omgeving van de organisatie kan ontstaan.
Bescherming tegen dit type aanval
De MFA relay aanval vormt een ernstige bedreiging voor de beveiliging van ondernemingen. Er zijn echter manieren om het risico van dit type aanval te beperken.
Een cruciale maatregel is om te focussen op bewustwordingscampagnes over phishing om werknemers op te leiden en hen te helpen bij het herkennen en voorkomen dat ze slachtoffer worden van phishingaanvallen. Dit kan het risico op compromittering door standaard phishingtechnieken die worden gebruikt in MFA relay aanvallen sterk verminderen.
Voor organisaties die Microsoft gebruiken als hun Identity Provider (IDP) in een Microsoft 365-omgeving, kan een abonnement op functies zoals Azure Conditional Access en de juiste configuratie ervan een extra beveiligingslaag bieden.
Nog steeds binnen het rijk van Microsoft kan het registreren van geautoriseerde apparaten in Intune en alleen geautoriseerde apparaten toestaan om verbinding te maken met de identity provider de beveiliging verder verbeteren.
In ondersteunde scenario’s kunnen gebruikers zich authenticeren met Universal Second Factor (U2F) en hardwaretokens zoals Yubikey. Deze hardwaretokens zijn cryptografisch gekoppeld aan de oorspronkelijke identiteitsprovider, waardoor het voor bedreigingsactoren moeilijk is om hun identiteit te vervalsen.
Het is belangrijk op te merken dat Windows defender ATP en andere EDR-oplossingen enige bescherming kunnen bieden tegen MFA relay aanvallen door rogue IDP’s te detecteren op basis van informatie over bedreigingen, maar ze bieden mogelijk geen volledige bescherming, vooral bij gerichte aanvallen waarbij het IP van de Evilginx server mogelijk niet op de zwarte lijst staat en de aanval toch kan slagen.
Conclusie
Concluderend is de MFA relay aanval een evoluerende dreiging die een ernstig risico vormt voor de beveiliging van ondernemingen.
Nu cyberaanvallers steeds geraffineerder worden, is het essentieel voor bedrijven om robuuste beveiligingsmaatregelen te implementeren om zich tegen deze bedreigingen te beschermen.
MFA is een effectieve beveiligingsmaatregel, maar niet fool proof. Ondernemingen moeten MFA aanvullen met extra beveiligingsmaatregelen, zoals beleid voor voorwaardelijke toegang en geavanceerde beveiligingsoplossingen, om ervoor te zorgen dat hun kritieke bronnen worden beschermd tegen MFA relay aanvallen en andere opkomende bedreigingen.
Door cyberbeveiliging proactief aan te pakken, kunnen organisaties het risico op compromissen verkleinen en hun bedrijf beschermen tegen cyberbedreigingen.
