Microsoft применяет сопоставление номеров для борьбы с «атаками усталости» на MFA

Microsoft применяет сопоставление номеров для борьбы с «атаками усталости» на MFA. Фото: из архива компании

В таких атаках (также известных как push-бомбардировка или push-спам MFA) киберпреступники «забрасывают» цели мобильными push-уведомлениями с просьбой одобрить попытки входа в их корпоративные учетные записи с использованием украденных учетных данных.

Во многих случаях цели поддаются повторным вредоносным push-запросам MFA либо по ошибке, либо для того, чтобы остановить, казалось бы, бесконечный поток предупреждений. 

Этот тип атаки с использованием социальной инженерии уже доказал свою эффективность злоумышленниками Lapsus$ и Yanluowang, которые использовали его для взлома известных организаций, включая Microsoft, Cisco и Uber .

Однако корпорация Майкрософт начала применять сопоставление номеров для предупреждений Microsoft Authenticator MFA, чтобы заблокировать попытки «атак усталости» MFA среди владельцев учетных записей.

Из сообщения компании:

«Сопоставление номеров — это ключевое обновление безопасности для традиционных уведомлений второго фактора в Microsoft Authenticator. Мы удалим административные элементы управления и обеспечим возможность сопоставления номеров для всех пользователей push-уведомлений Microsoft Authenticator, начиная с 8 мая 2023 года. Соответствующие службы начнут развертывать эти изменения после 8 мая 2023 года, и пользователи начнут видеть совпадение номеров в запросах на утверждение. По мере развертывания служб некоторые могут видеть совпадение номеров, а другие — нет».

Чтобы вручную включить сопоставление номеров, прежде чем Microsoft удалит элементы управления администратора, вам необходимо перейти в раздел Безопасность > Методы аутентификации > Microsoft Authenticator на портале Azure.

Оттуда выполните следующие шаги:

• На вкладке «Включить и настроить» нажмите «Да » и « Все пользователи» , чтобы включить политику для всех или добавить выбранных пользователей и группы. Установите для этих пользователей/групп режим аутентификации Any или Push.
• На вкладке Настройка для параметра Требовать сопоставление номеров для push-уведомлений измените Статус на Включено , выберите, кого включать или исключать из сопоставления номеров, и нажмите Сохранить.
• Вы также можете включить сопоставление номеров для всех пользователей или отдельной группы с помощью Graph API.

Из сообщения компании:

«Если у пользователя другой метод аутентификации по умолчанию, его вход в систему по умолчанию не изменится. Если методом по умолчанию является Microsoft Authenticator, а пользователь указан в любой из следующих политик, он начнет получать одобрение на сопоставление номеров после 8 мая 2023 года».

Те, кто хочет добавить дополнительную линию защиты от «атак усталости» на MFA, также могут ограничить количество запросов аутентификации для каждого пользователя (Microsoft, DUO, Okta), заблокировать учетные записи или предупредить группу безопасности домена, когда эти пороговые значения превышены.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Gmail теперь предлагает проверку подлинности для подтверждения аккаунта.
• Microsoft тестирует частную бизнес-версию ChatGPT для предотвращения утечки данных.
• Apple впервые использует функцию Rapid Security Response для iOS и macOS.