MFA Prompt Bombing: Khi lớp bảo mật thứ hai không còn an toàn

Xác thực đa yếu tố (MFA) được xem là giải pháp then chốt để tăng cường bảo mật danh tính. Tuy nhiên, kỹ thuật tấn công MFA prompt bombing đang cho thấy ngay cả lớp bảo mật thứ hai cũng có thể bị lợi dụng, khiến người dùng vô tình chấp thuận yêu cầu đăng …

Xác thực đa yếu tố (MFA) ra đời với mục đích lấp đầy lỗ hổng bảo mật danh tính quan trọng. Theo đó, ngay cả khi kẻ tấn công có được thông tin đăng nhập, chúng cũng không thể truy cập tài khoản nếu thiếu yếu tố xác thực thứ hai. Mặc dù logic này vẫn đúng, nhưng giờ đây, tin tặc đã tìm ra cách không cần đánh cắp yếu tố thứ hai mà chỉ cần lừa người dùng tự giao nộp nó.

Nếu tổ chức của bạn đang sử dụng MFA dựa trên thông báo đẩy (push-based MFA), thì kiểu tấn công này là một mối đe dọa hiện hữu. Các công cụ như Specops Secure Access được thiết kế để khắc phục lỗ hổng này, nhưng trước tiên, chúng ta cần hiểu rõ cách thức hoạt động của kỹ thuật này.

MFA prompt bombing hoạt động như thế nào?

Kiểu tấn công này yêu cầu ba yếu tố chính để thực hiện:

  • Thông tin đăng nhập hợp lệ, thường được lấy từ các bản rò rỉ mật khẩu trên dark web.
  • Cổng đăng nhập sử dụng MFA dựa trên thông báo đẩy (ví dụ: VPN, Microsoft 365, Okta hoặc Duo).
  • Nạn nhân nhận được thông báo mỗi khi kẻ tấn công cố gắng đăng nhập.

Kẻ tấn công sẽ liên tục kích hoạt thông báo xác thực, cố gắng lừa hoặc làm nạn nhân mệt mỏi để họ chấp thuận yêu cầu. Đôi khi, chúng kết hợp prompt bombing với các cuộc gọi vishing (lừa đảo qua điện thoại) giả mạo là bộ phận IT, nhằm thực hiện tấn công phi kỹ thuật (social engineering) đối với mục tiêu. Mối nguy hiểm là các phương pháp này chỉ cần thành công một lần.

Nếu yêu cầu được chấp thuận, kẻ tấn công sẽ đăng nhập vào tài khoản của người dùng. Các hệ thống bảo mật thường sẽ không cảnh báo vì phiên đăng nhập trông hoàn toàn hợp lệ.

Vụ tấn công Cisco

Vụ tấn công Cisco năm 2022 là một ví dụ điển hình về mức độ hiệu quả của kỹ thuật này, ngay cả đối với các chương trình bảo mật mạnh mẽ. Một kẻ tấn công có liên hệ với nhóm ransomware Yanluowang đã xâm nhập vào tài khoản Google cá nhân của một nhân viên Cisco. Tài khoản này đồng bộ hóa các thông tin đăng nhập được lưu trữ trên trình duyệt, bao gồm cả mật khẩu VPN của nhân viên Cisco.

Từ đó, kẻ tấn công đã gửi các thông báo MFA đến điện thoại của nhân viên. Ban đầu không thành công, chúng bắt đầu sử dụng các cuộc gọi vishing giả mạo các tổ chức hỗ trợ đáng tin cậy, nói bằng nhiều giọng khác nhau, và cuối cùng đã thuyết phục được nhân viên chấp nhận thông báo đẩy.

Sau khi được chấp thuận, kẻ tấn công có quyền truy cập VPN với tư cách là nhân viên đó. Chúng sau đó đăng ký thiết bị của riêng mình để duy trì quyền truy cập (persistence), leo thang đặc quyền lên cấp quản trị, truy cập các máy chủ Citrix và bộ điều khiển miền (domain controllers), và đánh cắp khoảng 2.8GB dữ liệu trước khi bị phát hiện và trục xuất. Việc prompt bombing thành công chống lại một công ty như Cisco, vốn có tư thế bảo mật rất mạnh, cho thấy mức độ nguy hiểm và hiệu quả của kiểu tấn công này.

Tại sao MFA dạng đẩy không loại bỏ rủi ro

Vấn đề với MFA dựa trên thông báo đẩy là người dùng được yêu cầu chấp thuận hoặc từ chối một yêu cầu đăng nhập với rất ít thông tin để đánh giá. Không có chỉ dẫn rõ ràng về nguồn gốc yêu cầu, thiết bị đang được sử dụng, hay liệu nỗ lực đăng nhập có phải do chính người dùng khởi xướng hay không. Trong điều kiện bình thường, điều này có thể quản lý được. Nhưng khi các thông báo bắt đầu đến liên tục, người dùng dễ dàng cho rằng có lỗi hệ thống thay vì nhận ra đó là một cuộc tấn công tiềm năng.

Nếu điều đó kết hợp với một cuộc gọi điện thoại đúng lúc từ một người giả mạo hỗ trợ IT, tình hình càng trở nên khó đánh giá hơn. Lúc này, người dùng không hành động bất cẩn, mà đang phản ứng với một kịch bản được thiết kế để cảm thấy quen thuộc và hợp pháp, sử dụng thông tin đăng nhập mà kẻ tấn công đã có.

3 cách các tổ chức có thể ngăn chặn prompt bombing

1. Sử dụng các yếu tố MFA chống lại sự mệt mỏi và lừa đảo (phishing-resistant)

Thông báo đẩy là hình thức MFA phổ biến nhưng yếu nhất. Các yếu tố chống lừa đảo như khóa bảo mật FIDO2, token phần cứng như YubiKey hoặc mã số khớp từ ứng dụng xác thực khó bị lạm dụng hơn.

2. Chặn mật khẩu bị lộ ngay từ nguồn

Prompt bombing chỉ có thể thực hiện được khi kẻ tấn công đã có mật khẩu hợp lệ. Việc quét liên tục Active Directory (AD) so với cơ sở dữ liệu mật khẩu bị lộ trực tiếp và buộc đặt lại mật khẩu khi có sự trùng khớp sẽ loại bỏ “nhiên liệu” cho cuộc tấn công. Việc chỉ dựa vào các chính sách mật khẩu AD mặc định sẽ không phát hiện được mật khẩu dùng lại, mật khẩu tuần tự hoặc mật khẩu bị lộ.

3. Thêm các tín hiệu rủi ro vào quá trình đăng nhập

Các chính sách truy cập có điều kiện (conditional access policies) dựa trên vị trí địa lý, trạng thái thiết bị và thời gian đăng nhập có thể chặn hoặc tăng cường xác thực trước khi thông báo được gửi đến điện thoại của người dùng. Điều này giảm sự phụ thuộc vào hành vi của người dùng và đưa vào ngữ cảnh thời gian thực để ngăn chặn các đăng nhập đáng ngờ trước khi chúng leo thang thành việc chiếm đoạt tài khoản thành công.

MFA vẫn quan trọng

MFA prompt bombing không phải là lý do để từ bỏ MFA, nhưng nó làm nổi bật những điểm yếu của một số yếu tố. Khi các yêu cầu chấp thuận có thể được kích hoạt liên tục mà không có ngữ cảnh rõ ràng, cơ chế kiểm soát trở nên dễ bị ảnh hưởng hơn dự định.

Nếu thông báo đẩy vẫn là yếu tố xác thực thứ hai mặc định của bạn, đã đến lúc xem xét lại quyết định đó. Các phương pháp khớp số (number matching) hoặc chống lừa đảo sẽ tăng cường bản thân phương pháp MFA, trong khi việc quét mật khẩu bị lộ sẽ hạn chế rủi ro kẻ tấn công sở hữu bước xác thực đầu tiên.

Nguồn tham khảo: The Hacker News

Nguyen Hung

Nguyen Hung

Keep in touch with our news & offers

Subscribe to Our Newsletter

What to read next...

Comments

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *