Jak Przejąć Kontrolę nad Kontami Microsoft 365, Mimo MFA?

Jak Przejąć Kontrolę nad Kontami Microsoft 365, Mimo MFA?

MFA jest lepsze niż samo hasło. To pewne. Jednak samo MFA dawno nie daje już poczucia bezpieczeństwa. Tradycyjne metody typu SMS, TOTP mogą być już w łatwy sposób oszukane i w tym artykule zajmiemy się właśnie tym tematem.

Podstęp i Technologia: Schemat Ataku

Wyobraźmy sobie scenariusz, w którym cyberprzestępca chce przejąć konto Microsoft 365. Zaczyna od stworzenia przekonującej imitacji legalnej domeny, a następnie, wykorzystując socjotechnikę, przekonuje użytkownika do kliknięcia w zainfekowany link zawarty w wiadomości e-mail. Użytkownik klika w legalnie wyglądający link nie wiedząc, że w tle zaczął już działać „Evilginx”.

Narzędzie Evilginx: Phishing na Wyższym Poziomie

Evilginx to złośliwe narzędzie typu „man-in-the-middle”, które umożliwia hakerom przechwycenie poświadczeń i tokenów uwierzytelniających, omijając w ten sposób uwierzytelnianie wieloskładnikowe (MFA). Proces ten zaczyna się od sklonowania repozytorium Evilginx i przygotowania odpowiedniego środowiska do przeprowadzenia ataku, czy to na systemie Linux, czy Windows.

Konfiguracja Środowiska Ataku

Przestępcy ustawiają serwer phishingowy, wykorzystując usługi takie jak Digital Ocean, tworząc wiarygodnie wyglądający fałszywy serwis internetowy. Cel to skłonienie potencjalnej ofiary do nieświadomego podania swoich danych logowania.

Phislets: Klucz do Skutecznego Phishingu

Phislets to konfiguracyjne skrypty wykorzystywane przez Evilginx do kierowania ataku na konkretne strony internetowe. Stworzenie phislet wymaga znajomości struktury atakowanej strony i odpowiedniego dostosowania zmiennych, takich jak proxy hosts, tokeny autoryzacji czy dane uwierzytelniające użytkownika.

Atak z Wykorzystaniem Evilginx na Żywo

John Hammond na swoim kanale YouTube zademonstrował ostatnio jak za pomocą Evilginx przeprowadzić atak phishingowy na konto Microsoft 365. Wideo pokazuje modyfikację plików YAML, konfigurację domeny i wykorzystanie reverse proxy w celu wyłudzenia danych logowania.

Socjotechnika w Akcji

Aspekt socjotechniczny w atakach phishingowych jest tak samo ważny jak narzędzia i techniki hakerskie. Wykorzystując umiejętności manipulacyjne, przestępcy celują w naturalne skłonności i odruchy człowieka, takie jak zaufanie, strach, czy pilność działania, by wywołać automatyczną, nierozważną odpowiedź. Przez stworzenie iluzji autentyczności, takiej jak podszycie się pod oficjalne komunikaty znanych firm czy instytucji, zmuszają ofiary do ujawnienia swoich danych w procesie, który na pierwszy rzut oka wydaje się być standardową procedurą weryfikacyjną. To właśnie socjotechnika umożliwia przestępcom przejście przez zabezpieczenia dwuetapowe, gdzie drugi czynnik – człowiek i jego tendencje – jest najsłabszym ogniwem. Poprzez wykorzystanie technik psychologicznych, przestępcy nie tylko skutecznie wyłudzają informacje uwierzytelniające, ale także są w stanie zainstalować na urządzeniach ofiar szkodliwe oprogramowanie czy uzyskać dostęp do wrażliwych zasobów, wykorzystując je do dalszych oszustw lub sprzedaży na czarnym rynku, co ostatecznie prowadzi do przejęcia pełnej kontroli nad skompromitowanymi kontami.

Przejmowanie Pełnych Uprawnień

W momencie, gdy przestępcy cyfrowi uzyskają dostęp do danych logowania, otwiera się przed nimi możliwość eskalacji uprawnień aż do poziomu administratora, co stanowi szczególnie niebezpieczny wymiar cyberataków. Posiadając pełne uprawnienia administracyjne, mogą oni nie tylko swobodnie poruszać się po zasobach sieciowych, manipulować danymi, tworzyć lub usuwać konta użytkowników, ale również implementować backdoory, które zapewnią długotrwały dostęp do systemu nawet po wykryciu i usunięciu pierwotnego punktu wejścia. Takie działanie zagraża nie tylko bezpośredniej ciągłości biznesowej, ale również stwarza ryzyko wycieku wrażliwych danych, w tym informacji osobowych klientów i pracowników, co może prowadzić do znacznych strat finansowych oraz reputacyjnych dla organizacji. Przejmowanie pełnych uprawnień przez atakującego przekształca pierwotny atak phishingowy w trwałe i złożone zagrożenie, które wymaga znacznie bardziej skomplikowanej i kosztownej interwencji, by przywrócić bezpieczeństwo i integralność systemów informatycznych.

Jak Obronić się przed Evilginx i Obejściem MFA

Rozwój narzędzi takich jak Evilginx2 podkreśla ewolucję technik phishingowych, które stają się coraz bardziej wyrafinowane, wykorzystując ataki typu man-in-the-middle (MitM) do kradzieży poświadczeń logowania oraz tokenów uwierzytelniających dwuskładnikowe. Wykorzystanie tego rodzaju narzędzi przez osoby atakujące stanowi znaczące zagrożenie dla cyberbezpieczeństwa organizacji na całym świecie. Jednak, jak wskazano podczas dyskusji poprowadzonej przez Adama Haertle (Zaufana Trzecia Strona), istnieją metody i narzędzia, które pozwalają skutecznie przeciwdziałać takim zagrożeniom.

How to Defend Against the Evilginx2

Ważnym elementem obrony przed atakami wykorzystującymi Evilginx2 jest Secfense User Access Security Broker (UASB), opracowany przez Marcina Szarego, CTO i współzałożyciela firmy Secfense. To rozwiązanie umożliwia wdrożenie silnego uwierzytelniania (np. FIDO2, passkeys) na szeroką skalę bez potrzeby modyfikacji istniejących aplikacji czy infrastruktury. Podczas webinaru, w którym wystąpił również twórca rozwiązania Evilginx2 Kuba Gretzky podjęto temat efektywności uwierzytelniania FIDO w przeciwdziałaniu tego rodzaju zagrożeniom oraz omówiono, w jaki sposób Secfense UASB ułatwia implementację FIDO, eliminując potrzebę pisania kodu.

Jeśli chcą Państwo zgłębić techniczne niuanse działania Evilginx2 oraz zrozumieć, jak Secfense UASB może wzmocnić strategię obronną Państwa organizacji, zachęcamy do rejestracji i obejrzenia zapisu dyskusji z udziałem twórców tych dwóch technologii. Jest to wyjątkowa okazja, aby nauczyć się praktycznych strategii wdrażania uwierzytelniania FIDO i lepiej zrozumieć ograniczenia tradycyjnego MFA oraz metody ich przezwyciężania.

Oprócz zdobycia wiedzy eksperckiej, webinar jest szansą na zrozumienie, jak kontrastujące końce spektrum cyberbezpieczeństwa – atakujący i obrońcy – mogą wpływać na kształtowanie przyszłości bezpieczeństwa w internecie.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.