A cura di Marco Rottigni, Technical Director di SentinelOne
L’autenticazione a più fattori ha disatteso le aspettative oppure è solo una parte della risposta agli attacchi?
L’autenticazione a più fattori (MFA) è diventata una delle soluzioni di sicurezza maggiormente suggerita alle imprese. Tuttavia, la recente ondata di attacchi identity-based ha dimostrato che la sola implementazione di strumenti MFA non è sufficiente.
Il sistema MFA, infatti, si basa principalmente sul comportamento umano e sul processo decisionale, fattori che possono incidere sul buon esito di un attacco poiché sono legati alla resilienza informatica dell’individuo che lo sta adottando.
In questo articolo si illustrano gli attacchi identity-based più comuni, i motivi per cui l’MFA è diventato un bersaglio e le prospettive di sicurezza per le aziende nel 2023.
Le caratteristiche dell’MFA e perché è oggetto di attenzione degli hacker
Come già indicato il fattore umano è la prima criticità degli strumenti MFA poiché ogni azione è legata al livello di attenzione alla cybersecurity dimostrata dall’utente, un elemento che spinge gli hacker a sfruttare tattiche di social engineering e malware, inondando l’app di autenticazione e il dispositivo dell’utente con richieste di conferma fino a quando questi non cederà a causa delle pressanti notifiche.
Questo tipo di attacco si svolge in media con i seguenti passaggi:
- si adotta una tattica tipo phishing per ottenere le legittime credenziali dell’utente target.
- l’hacker utilizza quindi le credenziali per accedere all’account dell’utente, attivando così la notifica push per l’MFA e ripetendo il passaggio più volte.
- l’utente preso di mira riceve molteplici notifiche sulla propria app e sul suo dispositivo, e spesso il mittente sembra essere una persona del team IT.
- l’utente consentirà alla fine l’accesso per errore o per interrompere l’ondata di notifiche, consentendo al cyber criminale di agire con il proprio account.
Oltre al fattore umano anche le funzionalità di sicurezza mal implementare nei sistemi MFA sono piuttosto critiche e possono aprire la strada ad opportunità di attacco. I ricercatori hanno identificato numerosi casi in cui l’MFA può essere violato, in particolare quando si utilizza solo un codice 2FA, tra cui:
- Manipolazione della risposta da “falso” a “vero”.
- Modifica dello status code per eludere il codice 2FA
- Controllo della presenza del codice 2FA nella risposta
- Analisi dei file JavaScript per i dati 2FA
- Riutilizzo dei codici 2FA
- Forzatura del codice 2FA
- Disabilitazione del 2FA cambiando le credenziali di accesso
- Bypass del 2FA con un codice di accesso non valido
Tipologie di attacchi MFA nell’attuale scenario delle minacce
Sfruttando l’elemento del coinvolgimento umano nelle difese MFA, gli hacker stanno iniziando a eludere i controlli MFA attraverso una serie di tecniche.
- Attacker-In-the-Middle (AiTM) – Gli attacchi AiTM si svolgono tra due host di comunicazione mentre un hacker manomette lo scambio di dati. Entrambi gli host credono di comunicare con l’altro ma, in realtà, l’attaccante terzo ha intercettato i messaggi e controlla l’intero scambio. Gli hacker ottengono dati personali sensibili come dettagli di account, login e altro ancora tramite questa tipologia di attacchi.
- Attacchi di SIM-swapping – Una tecnica spesso utilizzata per aggirare l’MFA: gli hacker si fingono prima vittime e chiedono al provider di telecomunicazioni di cambiare la carta SIM esistente con una controllata da loro stessi. Una volta sostituita la SIM, tutte le chiamate e i messaggi della vittima vengono ricevuti dall’hacker, compresi gli eventuali codici MFA forniti dal sistema MFA basato su SMS.
- Attacchi “Pass-the-Cookie” – In questo caso, viene rubato un cookie di autenticazione o di sessione che viene memorizzato da un web browser quando si accede a una risorsa basata sul web. Il cookie rubato viene poi utilizzato in una nuova sessione web per ingannare il browser sulla presenza dello stesso utente, evitando quindi che l’utente debba dimostrare ancora la propria identità nella nuova sessione. Gli attacchi “pass-the-cookie” sfruttano il fatto che i cookie salvati dalle applicazioni non scadono, almeno fino a quando l’utente si disconnette dal servizio.
Perché le PMI faticano ad adottare una soluzione MFA?
Nonostante i problemi, è importante riconoscere che l’MFA rimane un componente importante di una efficace strategia di difesa: le aziende che non implementano l’MFA lasciano spalancata la porta d’ingresso. Tuttavia, sono ancora poche le PMI che hanno implementato l’MFA per i propri dipendenti e clienti, principalmente perché temono che questa tecnologia possa ostacolare l’accesso agli strumenti e ai dati aziendali.
Le statistiche del Global Small Business MFA Study indicano i livelli di adozione nelle PMI:
- Il 54% delle PMI dichiara di non utilizzare l’MFA per proteggere i dati dei dipendenti.
- Il 55% delle PMI non è consapevole dell’MFA e dei suoi vantaggi in ambito sicurezza.
- Il 20% delle PMI non ha una formazione per i dipendenti sull’uso dell’MFA.
- Il 20% delle PMI indica le “difficoltà di utilizzo” come motivo di resistenza all’MFA.
Quali sono le novità per la protezione dell’identità per le aziende?
Sebbene l’MFA non sia la soluzione definitiva per fermare i cyberattacchi basati sulle identità, è comunque in grado di prevenire un buon numero di tentativi di acquisizione degli account. Tuttavia, per rimanere al passo con gli hacker, le aziende dovrebbero implementare ulteriori livelli di protezione per potenziare la tecnologia MFA.
Il processo MFA si basa su una rete FIDO2 (Fast Identity Online), che consente agli utenti di accedere alle proprie risorse utilizzando, ad esempio, le impronte digitali e le telecamere. Poiché l’autenticazione FIDO2 utilizza credenziali di accesso crittografiche uniche per ogni sito web, queste non escono mai dal dispositivo dell’utente e non vengono mai memorizzate su un server. Questo approccio elimina i rischi di phishing, nonché varie forme di attacchi replay e di furto delle password.
Le aziende possono anche rendere l’MFA meno soggetto a phishing:
- Aggiungendo più informazioni e contesto ai login degli utenti. Anziché limitarsi a richiedere un semplice “accetta” o “nega” per l’autenticazione, è possibile aggiungere dettagli come l’ID globale, la posizione e il nome del dispositivo.
- Le soluzioni MFA sono legate a URL, host e dispositivi specifici per impedire l’accesso diretto alla risorsa in caso di attacco AiTM.
- Assicurarsi che la soluzione MFA richieda un rigoroso processo di reset e ripristino e che i cookie di sessione, i token di sicurezza e i valori di seed siano impostati per scadere in meno di 24 ore.
Per le imprese che non riescono a implementare un MFA a prova di phishing, la CISA ha raccomandato l’uso della corrispondenza numerica come tattica di difesa contro attacchi come l’MFA fatigue. La combinazione dei numeri funziona costringendo la persona che avvia un login a inserire i numeri della piattaforma in un’Authenticator App per approvare la richiesta di accesso. In circostanze normali, gli utenti che avviano l’accesso inseriscono i numeri generati nella pagina di login e completano l’autenticazione su un dispositivo mobile. In un attacco MFA, l’accesso viene avviato dall’attaccante, il che significa che i numeri sono visibili solo a lui e non all’utente legittimo, di conseguenza l’utente non può concedere l’accesso all’hacker attraverso la notifica di push MFA. Lo spamming può ancora presentarsi, ma la combinazione numerica impedisce ai legittimi utenti di cedere all’attacco. Nella direttiva il CISA osserva che la corrispondenza dei numeri è da utilizzare solo temporaneamente, in quanto non è a prova di phishing come l’MFA.
Conclusioni
Al di là della semplice implementazione dell’MFA, la strategia per impostare una solida difesa della superficie dell’identità consiste nel riconoscere il legame che unisce identità e sicurezza. Gli attacchi riscontrati nel 2022 hanno mostrato i rischi che corrono le aziende quando le falle nella strategia di protezione delle identità sono lasciate solo all’MFA. Sebbene strategie di cybersecurity più solide includano strumenti di sicurezza basati sull’identità, come la gestione dell’identità e degli accessi (IAM) e la gestione degli accessi privilegiati (PAM), questi sono solo il punto di partenza per stabilire una protezione basata sull’identità a lungo termine. Strumenti moderni e innovativi di gestione delle identità opereranno in sinergia con solide piattaforme di cybersecurity come l’Extended Detection and Response (XDR) per proteggere le identità digitali e i sistemi che le gestiscono. Una combinazione di entrambi riduce la superficie di attacco complessiva delle identità, in quanto limita l’esposizione dell’azienda agli attacchi, monitorando costantemente i segnali di vettori comuni e nuovi basati sulle identità.