Serangan MFA Makin Marak, Microsoft Beri Tips Keamanan



TL;DR
  • Microsoft waspada serangan MFA lewat pencurian token.
  • Serangan ini bisa ancam pekerja jarak jauh dan organisasi.
  • Microsoft beri tips keamanan, seperti pakai sertifikat dan identitas cloud-only.
Serangan MFA Makin Marak, Microsoft Beri Tips Keamanan - credit to: myelectricsparks, kloud - pibitek.biz - Karyawan

credit to: myelectricsparks, kloud


336-280

pibitek.biz - Microsoft memberi peringatan tentang serangan multi-factor authentication (MFA) yang makin sering terjadi. Serangan ini bisa mengancam keamanan para pekerja jarak jauh. Tiga tahun lalu, serangan MFA masih jarang terjadi. Ini karena hanya sedikit organisasi yang mengaktifkan MFA. Namun, sekarang Microsoft melihat peningkatan pencurian token oleh penyerang yang ingin mengelabui MFA. Ini seiring dengan meningkatnya penggunaan MFA dan serangan pada password.

Serangan ini dilakukan dengan cara menyalin token yang dikeluarkan untuk seseorang yang sudah melakukan MFA. Lalu, penyerang memakai token itu untuk masuk ke perangkat baru. Platform identitas OAuth 2.0, seperti Azure Active Directory (AD), menggunakan sistem tiket. Sistem ini bertujuan untuk mempermudah dan mempercepat proses autentikasi bagi pengguna, sekaligus menangkal serangan password. Microsoft juga mengingatkan bahwa pencurian token sangat berbahaya karena tidak memerlukan keahlian teknis dan sulit dideteksi.

Selain itu, teknik ini masih baru, jadi belum banyak organisasi yang punya cara mengatasinya. Microsoft menulis di blognya, "Baru-baru ini, Microsoft Detection and Response Team (DART) melihat peningkatan penggunaan pencurian token oleh penyerang". "Dengan menyalin dan mengambil alih token yang dikeluarkan untuk identitas yang sudah melakukan MFA, penyerang bisa memvalidasi MFA.

Kemudian, penyerang bisa mengakses sumber daya organisasi yang sesuai". Taktik ini mengkhawatirkan para pembela karena cara mengatasi pencurian token yang ada di organisasi harus lebih dikenal dan sulit ditembus. Untuk mengakses aplikasi web yang dilindungi oleh Azure AD, pengguna harus menunjukkan token yang valid.

Token ini bisa didapat setelah mereka masuk ke Azure AD dengan kredensial mereka. Misalnya, administrator bisa membuat kebijakan yang mengharuskan MFA untuk pengguna yang ingin masuk ke akun lewat browser. Aplikasi web akan memeriksa token yang dikeluarkan untuk pengguna dan kemudian membuka akses.

Microsoft menjelaskan bahwa "ketika pengguna tertipu, infrastruktur jahat bisa mencuri kredensial dan token mereka". Penyerang bisa menggunakan token dan kredensial untuk melakukan banyak serangan jika berhasil mencurinya. Microsoft juga menyoroti bahwa kejahatan siber adalah penyebab utama kerugian finansial akibat kompromi email di bisnis.

Microsoft juga mengingatkan tentang serangan "Pass-the-cookie". Ini adalah di mana penyerang mengambil alih perangkat untuk mengambil cookie browser yang dibuat setelah autentikasi dengan Azure AD dari browser web. Lalu, untuk menghindari pemeriksaan keamanan, penyerang mengirim cookie ke browser lain.

"Pengguna yang mengakses sumber daya perusahaan lewat perangkat pribadi sangat berisiko. Microsoft menunjukkan bahwa perangkat pribadi biasanya kurang aman daripada yang dikelola perusahaan dan staf IT punya keterbatasan untuk mengidentifikasi kompromi. Pekerja jarak jauh yang menggunakan perangkat pribadi lebih berisiko.

Microsoft menyarankan agar serangan pencurian token terhadap MFA bisa dicegah dengan mengurangi masa berlaku token dan durasi sesi. Namun, ini berdampak pada kenyamanan pengguna. Microsoft merekomendasikan pengguna untuk menggunakan autentikasi berbasis sertifikat untuk kunci keamanan seperti Windows Hello for Business atau FIDO2 security keys.

Pengguna dengan hak istimewa tinggi, seperti Global Domain admin, harus punya identitas cloud-only yang terpisah. Jika penyerang mengambil alih sistem on-premises, ini akan mengurangi luas serangan ke cloud. Microsoft menyatakan bahwa identitas ini tidak boleh terhubung dengan kotak surat.