Authentification à deux facteurs facilement contournée lors d’une attaque de preuve de concept

KnowBe4 L’agent de piratage en chef Kevin Mitnick a démontré une attaque de preuve de concept qui utilise l’ingénierie sociale et de faux noms de domaine pour contourner la sécurité d’authentification à deux facteurs, un tournant inquiétant pour une forme de sécurité couramment utilisée.

L’attaque cible les comptes avec une attaque de phishing, qui tente d’inciter les utilisateurs à cliquer sur une adresse de site Web conçue pour ressembler à une adresse légitime. Dans le PoC, cela pourrait être "llnked.com", par opposition à LinkedIn.com, une faute d’orthographe que les gens peuvent ignorer.

En termes de détournements de compte, jusqu’à présent, rien de ce qui n’a pas été vu auparavant, mais alors Mitnick a jeté dans le twist 2FA. Dans ce cas, bien que la connexion via le site Web malveillant, les utilisateurs sont dirigés vers le site officiel avec le code assis derrière lui. Lorsque les utilisateurs entrent leur nom d’utilisateur, mot de passe et code 2fa, le cookie de session lui-même, et non les données elles-mêmes, est intercepté.

"Ce n’est pas le code à six chiffres qui a été intercepté, parce que vous ne pouvez plus utiliser le code à six chiffres", explique Mitnick. "Ce que nous pouvions faire était intercepter le cookie de session" qui, lorsqu’il est utilisé, signifie que l’attaquant entre la clé de session dans le navigateur pour faire croire au site que c’est l’utilisateur légitime.

Zack Allen, responsable des opérations de menace chez ZeroFOX Inc. , a déclaré à SiliconANGLE que la démonstration montre à quel point il est facile d’usurper les requêtes 2FA en envoyant un utilisateur sur une page d’hameçonnage.

"Une fois que les victimes cliquent et entrent leurs identifiants de compte et le code 2FA, elles sont redirigées vers une URL spécifiée par le paramètre de requête HTTP", a déclaré M. Allen. "Ce paramètre encode un cookie qui enregistre le faux domaine dans le navigateur de la victime afin qu’ils soient redirigés vers le faux domaine chaque fois qu’ils cliquent sur le lien de phishing. En utilisant cette astuce, l’attaquant peut non seulement acquérir le nom d’utilisateur et le mot de passe de la victime, mais aussi leurs cookies, qui peuvent être utilisés pour prendre le contrôle total de la session de la victime et contourner 2FA. "

Soulignant à quel point le problème est sérieux, Allen a déclaré que l’attaque démontre que l’authentification multifactorielle a des faiblesses inhérentes. "Une approche 2FA plus fiable inclut des notifications push via l’application d’authentification elle-même ainsi que des dispositifs matériels" what-you-have "comme un Yubikey ", a-t-il ajouté.

Les entreprises et les particuliers, même avec 2FA en place, doivent se méfier des implications sécuritaires des réseaux et doivent être informés des risques possibles, a averti M. Allen.

"2FA est une excellente première étape pour s’assurer que les comptes ne sont pas détournés, mais comme démontré dans cet exemple, les attaques comme le phishing, l’ingénierie sociale et l’usurpation d’identité ont encore de graves conséquences", a-t-il déclaré. "Les gens et les entreprises doivent se tourner vers des solutions plus complètes basées sur l’éducation et la technologie pour rester en sécurité en ligne."

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image