L'autenticazione a più fattori non è la più sicura
Buongiorno cari lettori, oggi parleremo dell'autenticazione a più fattori.
Secondo la CISA, ha verificato che uno degli utenti ha subito una violazione del proprio account anche se utilizzava "un'adeguata autenticazione multifattoriale (MFA)".
L'anno scorso è stato segnalato che gli attori della minaccia hanno utilizzato strumenti legittimi per compromettere gli asset basati sul Cloud. Ora, la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha emesso un avviso per avvertire i lavoratori remoti che utilizzano account cloud di una possibile violazione della sicurezza.
Mentre l'obiettivo esatto rimane sconosciuto bypassando l'MFA può costituire una grave minaccia per i servizi delle risorse in-the-cloud, tra cui le piattaforme di eCommerce, DevOps e simili. E con il mercato in continua espansione delle soluzioni di eCommerce in-the-cloud disponibili al pubblico, gli esperti avvertono che anche l'autenticazione a più fattori potrebbe non essere sufficiente.
Secondo il CISA, i criminali informatici hanno individuato un modo per bypassare l'autenticazione a più fattori (MFA) e ora mirano agli account dei servizi cloud.
Gli hacker hanno bypassato l'MFA
Mercoledì, l'agenzia statunitense per la sicurezza informatica ha rivelato in una dichiarazione ufficiale che ci sono stati molteplici "attacchi cibernetici di successo contro i servizi cloud di varie organizzazioni". Il CISA ha dichiarato che gli aggressori prendono di mira i computer portatili personali e aziendali con attacchi di forza bruta e phishing, nonché un attacco "pass-the-cookie" per l'accesso agli account cloud.
Tattiche versatili utilizzate per dirottare gli account cloud
Secondo il CISA, l'ultima ondata di attacchi cibernetici contro i servizi cloud non è opera di un singolo attore o gruppo di minaccia. Ma l'agenzia ha identificato diverse tattiche comuni utilizzate in questa campagna. Ad esempio, gli aggressori utilizzano versioni spoofed di servizi di file hosting o di altri fornitori legittimi per ottenere informazioni di login e dirottare gli account cloud per truffare altri utenti dell'organizzazione.
"Gli attori informatici hanno progettato e-mail che includevano un link a quello che sembrava essere un messaggio sicuro e anche e-mail che sembravano un legittimo account di login per i servizi di file hosting. Dopo che un destinatario mirato ha fornito le proprie credenziali, gli attori della minaccia hanno poi utilizzato le credenziali rubate per ottenere l'accesso iniziale [TA0001] all'account di servizio cloud dell'utente", ha scritto l'agenzia.
D'altro canto, l'agenzia ha rilevato che alcuni aggressori stanno modificando le regole di inoltro e di ricerca per parole chiave. Ciò viene fatto per lo più da aggressori della BEC che devono monitorare le comunicazioni e-mail con i fornitori e nascondere gli avvisi di phishing.
In uno degli esempi è stato configurato un server VPN con la porta 80 aperta ed è stato preso di mira con tentativi di login con forza bruta. In molti attacchi hanno bypassato l'MFA; in un caso gli aggressori hanno utilizzato cookie del browser e attacchi pass-the-cookie per bypassare l'MFA.
Nessun collegamento con l'attacco alla catena di fornitura SolarWinds
Il CISA ha sottolineato che questa campagna non è collegata all'attacco alla catena di fornitura di SolarWinds, che si sospetta sia opera di criminali informatici russi sponsorizzati dallo Stato. L'agenzia ha tuttavia osservato che i login utilizzati dagli attori della minaccia provenivano da località straniere, ma è possibile che essi utilizzino l'Onion Router o un server proxy per nascondere la loro posizione.
Raccomandazioni del CISA
Dato il numero di attacchi lanciati contro i servizi cloud, l'agenzia è stata costretta ad allertare i lavoratori a distanza. Il CISA raccomanda agli utenti di rafforzare le politiche di accesso condizionato, l'AMF, le limitazioni di inoltro delle e-mail, la limitazione dell'accesso privilegiato e la formazione degli utenti per migliorare le pratiche di sicurezza in-the-cloud.
Inoltre, i dipendenti remoti dovrebbero evitare di utilizzare dispositivi personali per il lavoro o utilizzare strumenti di gestione dei dispositivi mobili per mitigare la minaccia.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
