A medida que las cuentas en línea son cada vez más protegido por tecnología de clave de accesoResulta que muchos bancos, comercio electrónico, redes sociales, administración de nombres de dominio de sitios web, plataformas de desarrollo de software, cuentas en la nube y muchos más aún pueden verse comprometidos mediante ataques como el adversario en el medio (AitM), que inutiliza las claves de acceso.
Eso es según Joe Stewart, investigador senior de seguridad de la Unidad de Respuesta a Amenazas (TRU) de eSentire, quien dice que el problema no está en las claves de acceso en sí, sino en su implementación y la necesidad de opciones de recuperación de cuentas.
Muchos sitios web ofrecen métodos de autenticación alternativos menos seguros en caso de que un usuario tenga un problema con su clave de acceso o pierda un dispositivo, para que las cuentas no se vuelvan irrecuperables. Los atacantes pueden aprovechar esto simplemente insertándose entre el usuario y el sitio web, como lo harían en cualquier escenario de AiMluego manipular la apariencia de la pantalla de inicio de sesión para que el usuario no reciba ninguna opción de clave de acceso.
“Dado que AitM puede manipular la vista presentada al usuario modificando el HTML, CSSet des images ou JavaScript dans la page de connexion, car il est transmis par proxy à l’utilisateur final, ils peuvent contrôler le flux d’authentification et supprimer toutes les références à l’authentification par clé d’accès”, a expliqué Stewart en un entrada en el blog sobre sus hallazgos, que llamó “ataques de escritura de métodos de autenticación”.
A través de esta estrategia, pueden obligar a un objetivo a moverse hacia una alternativa menos segura que pueda ser interceptada por el adversario que se esconde detrás. Y es un descubrimiento que “hace un agujero” en el debate de seguridad en torno a las claves de acceso, le dice Stewart a Dark Reading.
“Comenzamos a investigar y descubrimos que algunos, si no todos, los mecanismos de autenticación de claves de acceso existentes tenían el mismo problema: ofrecían claves de acceso como una opción entre muchas, y los atacantes podían simplemente eliminar esta opción y terminar con métodos menos seguros que abrían la puerta. a la adquisición de cuentas”, explica.
GitHub, las implementaciones de Microsoft Passkey son vulnerables a ataques
En un ejemplo de prueba de concepto (PoC) de este flujo de ataque, Stewart pudo utilizar el software de código abierto Evilginx AitM para representar y modificar una página de inicio de sesión real de GitHub, eliminando el texto “Iniciar sesión con una clave de acceso de inicio de sesión”. ”de la página para que el usuario no la vea y, en su lugar, darle la opción de elegir otra forma de iniciar sesión.
“A menos que el usuario recuerde específicamente que necesita ver una opción de clave de acceso, lo más probable es que simplemente elija ingresar su nombre de usuario y contraseña, que se enviarán al atacante con el token de autenticación/cookies, que el atacante puede usar para mantener la persistencia. acceso a la cuenta”, dice Stewart.
En otro escenario en el que se utiliza una clave de autenticación como segundo factor de autenticación, Stewart descubrió que, una vez más, es fácil reescribir el HTML de la página para eliminar por completo el método de autenticación de dos factores. O, explicó en sus hallazgos, un atacante podría “usar JavaScript inyectado para hacer clic en uno de los métodos alternativos, avanzando automáticamente a través del proceso de autenticación para que el usuario ni siquiera se dé cuenta de que tiene otra opción”.
Como escribe en la publicación, “Dado que otros métodos de segundo factor, como una aplicación de autenticación o un código de recuperación, no son resistentes a AitM, el atacante podrá nuevamente capturar todas las credenciales y tokens/cookies que necesita para acceder al cuenta. »
De hecho, en un tercer escenario que utiliza una cuenta de cliente de Microsoft, la opción de inicio de sesión con contraseña puede volver a estar oculta. Sin embargo, Microsoft ha introducido una nueva opción “sin contraseña” que, en teoría, podría neutralizar este tipo de ataques. ¿Las malas noticias? En realidad, no funciona para impedir la eliminación de la clave de acceso porque la opción de cuenta sin contraseña requiere el uso de la aplicación Microsoft Authenticator como único método de verificación de identidad. un flujo que sigue siendo vulnerable a los ataques AiTMexplica Stewart.
Como se mencionó anteriormente, GitHub y Microsoft no están solos; la mayoría de los principales minoristas y proveedores de aplicaciones en la nube Tengo el mismo problema.
Esto no es una vulnerabilidad, sino una triste realidad.
Stewart señala que los ataques de redacción de métodos de autenticación tienen éxito no debido a fallas en las implementaciones de claves de acceso o errores de seguridad, sino debido a la inmadurez de la autenticación en general.
Por un, la mayoría de los usuarios aún no están suficientemente familiarizados con las claves de acceso y no saber cuando una página puede ser manipulada; por otro lado, es posible que los implementadores no sepan cómo AitM puede modificar la vista de conexión. Y el hecho es que ofrecer opciones de recuperación de cuenta es imprescindible; Las claves de acceso están alojadas en dispositivos de hardware, por lo que si el dispositivo se pierde, debe haber otra forma de acceder a la cuenta. Desafortunadamente, estas partidas guardadas casi siempre son vulnerables a AitM.
“Si no fuera necesario recuperar cuentas, un flujo de autenticación de clave de acceso resistente a AitM podría ser bastante simple, abandonando las contraseñas por completo en favor de las claves de acceso”, escribió Stewart en el mensaje. “Desafortunadamente, vivimos en el mundo real y las claves de acceso inevitablemente se perderán debido a la pérdida o reinicio del dispositivo. Como solución parcial, las claves de contraseña pueden ser administradas por un administrador de contraseñas, lo que proporciona una mayor resistencia contra pérdidas, pero la contrapartida es que la seguridad de la bóveda del administrador de contraseñas (incluso ahora depende de una contraseña principal y un segundo código secreto). a lo mejor. »
De hecho, cuando su equipo se puso en contacto con algunos de los proveedores involucrados, apreciaron la información, dice, pero siguen exasperados por la dificultad de actualizar los métodos de autenticación en el dominio del consumidor. Por ahora, sienten que tienen las manos atadas.
“Todo el mundo siempre piensa que esta persona va a ser bloqueada en algún momento, que va a perder su clave de seguridad y por lo tanto vamos a tener que proporcionar todos estos métodos de autenticación de respaldo. Desafortunadamente, esto favorece a las personas que utilizan kits de phishing”, explica. “Tenemos la sensación de que los consumidores no entienden realmente qué son las claves de acceso. »
Eso no quiere decir que no haya opciones para mejores implementaciones, y Stewart dice que quiere promoverlas, particularmente en lo que respecta a los enlaces mágicos para la recuperación de cuentas, que son “probablemente el método más seguro”, dice Stewart. Los “enlaces mágicos” se envían a una cuenta de correo electrónico y redirigirán a los usuarios a una nueva ventana de inicio de sesión para iniciar sesión.
“Si haces clic en un enlace que te enviaron por correo electrónico y se abre una ventana completamente nueva, estás conectado directamente al sitio real; pasas por alto la ventana de phishing y sales de esa sesión secuestrada”, explica. “Luego puedes seguir el proceso de autenticación segura con una clave de acceso en caso de que haya sido redactada durante una sesión comprometida. »
El único inconveniente es que este método sólo es seguro siempre que se utilice para acceder a una bandeja de entrada o a una red de SMS, que también son objetivos habituales de los piratas informáticos. Es por eso que Stewart recomienda utilizar capas adicionales de seguridad, como garantizar que sean enlaces únicos generados automáticamente con tiempos de vencimiento cortos y que solo se permitan conexiones desde direcciones IP previamente autenticadas.
También es posible implementar “enlaces de protección”, que son como enlaces mágicos pero que también requieren preguntas de seguridad o ingresar un código de respaldo para su uso, dice Stewart.
Como nota positiva, algunos de los proveedores con los que habló el equipo estaban abiertos a considerar nuevos enfoques para frustrar los ataques AiTM, añade.
¿Cómo pueden las empresas evitar el compromiso debido a la eliminación de la clave de acceso?
Más allá de lo obvio (usar claves de hardware y exigir que las contraseñas alternativas sean complejas y únicas para cada sitio web), los equipos de seguridad dentro de las organizaciones tienen algunas opciones para fortalecer las defensas contra las degradaciones forzadas de la autenticación, señala Stewart, incluido el uso de los enlaces mágicos y de protección antes mencionados.
Por ejemplo, los productos Entra ID de Microsoft (anteriormente conocido como Azure AD) e Intune permiten a los administradores configurar políticas de acceso condicional que pueden evitar inicios de sesión proxy exitosos, como requerir inicios de sesión desde dispositivos desde “dispositivos administrados, unidos a un dominio y que cumplen con las políticas”. .
“Verificar que estás en una máquina unida a un dominio y que no puedes conectarte a ninguno de estos servicios a menos que tengas los permisos necesarios hace que sea mucho más difícil para alguien simplemente tomar la información de identificación y usarla”, dice Stewart. .
Además, muchas soluciones empresariales de gestión de acceso e identidad (IAM) permiten a los administradores definir el flujo de inicio de sesión y recuperación de cuentas para la organización, grupos o usuarios individuales. “Por lo tanto, puede ser posible definir un flujo de inicio de sesión seguro y sin contraseña utilizando claves de acceso, que no sea vulnerable a ataques de redacción de métodos de autenticación”, dice Stewart, citando el software de código abierto Keycloak IAM como una plataforma con esta capacidad.
En general, los equipos de seguridad deben asumir que cada sesión de inicio de sesión está comprometida por AitM y asegurarse de que cualquier intento de degradar el método de autenticación lejos de las claves de acceso debe “salir” de la sesión existente antes de continuar.
Y finalmente, “alentar o exigir a los usuarios que agreguen múltiples claves de acceso, de modo que la pérdida de una clave no bloquee el acceso a la cuenta ni requiera el uso de métodos de autenticación menos seguros”, aconsejó Stewart en su publicación de blog.
No te pierdas las últimas noticias Podcast confidencial de lectura oscuradonde hablamos con dos negociadores de ransomware sobre cómo interactúan con los ciberdelincuentes: incluso cómo negociaron un acuerdo para restaurar las operaciones en una unidad de cuidados intensivos neonatales de un hospital donde había vidas en juego; y cómo ayudaron a una iglesia, donde los propios atacantes “tenían un poco de religión”. ¡Escucha ahora!