Anatomie d'une attaque par contournement du MFA

Qu'est-ce qu'une attaque par contournement de l'AMF ?

Une attaque par contournement de l'authentification multi-facteurs (AMF) se produit lorsqu'un attaquant réussit à contourner les contrôles d'AMF d'une organisation pour obtenir un accès non autorisé. Bien que les méthodes d'authentification soient un élément important de la prévention, elles n'empêchent pas toujours les attaquants d'accéder aux comptes. Les attaquants peuvent contourner les exigences de l'AMF pour obtenir un accès VPN, effectuer une reconnaissance du réseau, voler des noms d'utilisateur et des mots de passe et, en fin de compte, exfiltrer des données sensibles. 

Techniques courantes de contournement de l'AMF

Les types courants de techniques de contournement de l'AMF sont les suivants :

• Phishing des attaques : Les attaquants utilisent souvent des techniques phishing sophistiquées pour inciter les utilisateurs à fournir leurs identifiants MFA.

• Attaques par lassitude de l'AMF : L'attaquant envoie à la victime des demandes répétées de MFA, l'inondant de demandes de validation jusqu'à ce que l'utilisateur en approuve une, soit par habitude, soit par lassitude.

• L'échange de cartes SIM : Les attaquants détournent le numéro de téléphone d'une victime en convainquant l'opérateur de le transférer sur une carte SIM d'un autre appareil. Cette technique est de plus en plus courante en raison de l'utilisation généralisée de l'authentification par SMS. 

• Détournement de session : L'attaquant prend le contrôle d'une session d'application professionnelle active afin de contourner entièrement les méthodes MFA. Une fois qu'il a pris le contrôle de la session, il peut ajouter de nouveaux dispositifs MFA, réinitialiser les mots de passe et utiliser le compte détourné pour progresser dans le réseau de l'entreprise. 

• Exploitation des failles de l'AMF : Les attaquants trouvent une mauvaise configuration ou d'autres vulnérabilités, généralement dans les systèmes intégrés OAuth et d'authentification unique (SSO), qui leur permettent de contourner le deuxième facteur d'authentification. 

Détecter les attaquants qui contournent votre MFA

Les solutions MFA avancées, telles que les clés de sécurité et la vérification biométrique, sont un élément essentiel de la sécurité des entreprises. Mais ne vous arrêtez pas là. Il est tout aussi crucial de surveiller votre environnement pour détecter toute activité suspecte afin d'attraper une attaque de contournement MFA dès qu'elle se produit. 

Vectra AI utilise plus de 150 modèles de détection pilotés par l'IA pour révéler quand un attaquant contourne le MFA et d'autres contrôles préventifs. Avec une couverture de plus de 90 % du site MITRE ATT&CK et 11 références dans le cadre MITRE D3FEND - plus que tout autre fournisseur - Vectra AI détecte les techniques courantes utilisées par les cybercriminels pour contourner le MFA, y compris :

• MFA - Échec de l'ouverture de session suspecte
• AMF désactivée
• Accès compromis suspecté
• Anomalie dans l'utilisation des privilèges
• M365 Règle sur le transport des échanges suspects

Par exemple, dans une attaque simulée qui a commencé par l'achat d'un accès VPN, l'auteur de l'attaque :

• Reconnaissance du réseau pour se déplacer latéralement via RDP
• Utilisation d'informations d'identification volées pour infiltrer SharePoint et le code source.
• Création d'un nouveau compte d'administrateur pour un accès redondant et tentative de création d'une règle de transport pour une exfiltration future.
  

Mais avec Vectra AI, les défenseurs savent quelles sont les entités touchées, chaque surface occupée et quelles sont les mesures à prendre - et peuvent rapidement verrouiller les comptes en question.

Découvrez comment Vectra AI a révélé une attaque active de contournement de l'AMF

Que se passe-t-il lorsqu'un groupe de cybercriminels notoires contourne l'AFM, vole des informations d'identification et commence à se déplacer latéralement ? Découvrez ci-dessous comment le groupe de ransomware Lapsus$ utilise le contournement du MFA pour s'introduire dans les réseaux d'entreprise et apprenez pourquoi les détections basées sur l'IA sont essentielles pour repérer des attaques similaires.