Theo TheHackerNews, công ty an ninh mạng Mandiant đã báo cáo xu hướng tin tặc khai thác xác thực đa yếu tố (MFA) để truy cập vào các tài khoản Microsoft không hoạt động.
Mandiant đề cập nhóm APT29 của Nga - còn được biết đến với tên là Cozy Bear - đã khai thác quy trình tự đăng ký để áp dụng MFA cho Microsoft Azure Active Directory để nắm quyền kiểm soát Microsoft 365 và các tài khoản khác.
Thông thường khi các tổ chức triển khai MFA lần đầu, nhiều nền tảng cho phép người dùng đăng ký thiết bị MFA của họ - thường là điện thoại thông minh - vào lần đăng nhập tiếp theo. Quá trình này là hiệu quả để cung cấp cho nhiều người dùng có thể sử dụng xác thực đa yếu tố để bảo mật tài khoản của họ.
Nhưng các nhà nghiên cứu chỉ ra nếu không có xác minh bổ sung quanh quy trình đăng ký MFA, bất kỳ ai biết tên người dùng và mật khẩu của tài khoản đều có thể cài xác thực đa yếu tố cho tài khoản đó, miễn là họ là người đầu tiên thực hiện.
 |
Tin tặc đang khai thác tính năng xác thực đa yếu tố của Microsoft |
Chụp màn hình |
Nhóm nghiên cứu cho biết tổ chức APT29 đã tiến hành tấn công dò tìm mật khẩu nhằm vào một danh sách email. Với các tài khoản đã được tạo nhưng chưa sử dụng, nhóm này đã chiếm đoạt để truy cập vào hạ tầng VPN của tổ chức. Mandiant không tiết lộ nạn nhân hoặc mục đích của cuộc tấn công, mặc dù APT29 được biết là nhóm hacker nhằm vào Mỹ, NATO và các nước đồng minh.
Để tránh trở thành nạn nhân, các nhà nghiên cứu khuyến cáo các tổ chức cần đảm bảo tất cả các tài khoản đang hoạt động có ít nhất một thiết bị MFA được đăng ký. Đồng thời họ cần thêm xác minh bổ sung vào quy trình đăng ký MFA.
Microsoft gần đây triển khai một tính năng cho phép các tổ chức thực thi các biện pháp kiểm soát đăng ký thiết bị MFA. Bộ phận hỗ trợ có thể cấp Thẻ truy cập tạm thời cho nhân viên khi tham gia lần đầu hoặc khi bị mất thiết bị MFA. Thẻ này có thể sử dụng trong một thời gian giới hạn để đăng nhập và đăng ký một thiết bị MFA mới.
Bình luận (0)