هاكرز يستخدمون تكتيكاً جديداً لتفادي المصادقة المتعددة
حددت مايكروسوفت العديد من عوامل الحماية من الهجمات على المصادقة متعددة العوامل التي تهدد خصوصية بيانات ومعلومات المستخدمين عبر الإنترنت.
وقبل ثلاث سنوات، كانت الهجمات على المصادقة متعددة العوامل (MFA) نادرة جداً لدرجة أن Microsoft لم يكن لديها إحصائيات عنها، ويرجع ذلك إلى حد كبير إلى قلة المنظمات التي مكنت أسلوب المصادقة المتعددة MFA.
ومع تزايد استخدام أسلوب المصادقة المتعددة (MFA) حيث أصبحت الهجمات على كلمات المرور أكثر شيوعاً، شهدت مايكروسوفت زيادة في الهاكرز الذين يستخدمون سرقة الرموز في محاولاتهم لتفادي MFA.
وفي هذه الهجمات، يقوم المهاجم بخرق رمز تم إصداره لشخص أكمل بالفعل MFA ويعيد تشغيل هذا الرمز المميز للوصول من جهاز مختلف. وتعتبر الرموز المميزة أساسية لأنظمة هوية OAuth 2.0، بما في ذلك Azure Active Directory (AD) ، والتي تهدف إلى جعل المصادقة أبسط وأسرع للمستخدمين، ولكن بطريقة لا تزال مرنة في مواجهة هجمات كلمات المرور.
علاوة على ذلك، تحذر مايكروسوفت من أن سرقة الرمز المميز أمر خطير لأنه لا يتطلب مهارات تقنية عالية، كما أن الاكتشاف صعب، ولأن التقنية لم تشهد سوى زيادة طفيفة في الآونة الأخيرة، فإن عدداً قليلاً من المؤسسات لديها وسائل حماية.
وتحذر مايكروسوفت أيضاً من هجمات “تمرير ملفات تعريف الارتباط”، حيث يقوم المهاجم بخرق جهاز ويستخرج ملفات تعريف ارتباط المتصفح التي تم إنشاؤها بعد المصادقة على Azure AD من مستعرض. ويمرر المهاجم ملف تعريف الارتباط إلى متصفح آخر على نظام آخر لتجاوز عمليات التحقق الأمنية.
وتلاحظ مايكروسوفت “المستخدمون الذين يصلون إلى موارد الشركة على الأجهزة الشخصية معرضون للخطر بشكل خاص. وغالباً ما يكون للأجهزة الشخصية ضوابط أمان أضعف من الأجهزة التي تديرها الشركة ويفتقر موظفو تكنولوجيا المعلومات إلى رؤية تلك الأجهزة لتحديد الاختراق. هذا يمثل مخاطرة أكبر للعاملين عن بعد الذين يستخدمون الأجهزة الشخصية”.
ولمواجهة تهديد هجمات سرقة الرمز المميز على MFA، توصي مايكروسوفت بتقصير مدة الجلسة، على الرغم من أن هذا قد يكون له تكلفة على المستخدم. ويؤدي تقليل عمر الجلسة إلى زيادة عدد المرات التي يضطر فيها المستخدم إلى إعادة المصادقة، وبالتالي تقليل الوقت المناسب للجهات الفاعلة في تهديد الرمز المميز لزيادة تواتر محاولات سرقة الرمز المميز.
وتوصي مايكروسوفت بتثبيت التحكم في تطبيق الوصول المشروط في Microsoft Defender for Cloud Apps للمستخدمين المتصلين من أجهزة غير مُدارة، وتوصي أيضاً بتطبيق مفاتيح أمان FIDO2 أو Windows Hello للأعمال أو المصادقة المستندة إلى الشهادة للمستخدمين، بحسب موقع زدنت.