- Para peretas mengincar token MFA untuk masuk ke perangkat baru dan mencuri data penting.
- Microsoft memperingatkan bahwa pencurian token makin marak dan sulit dideteksi, membuat ahli keamanan khawatir.
- Microsoft menyarankan beberapa langkah untuk mencegah serangan, seperti mengurangi masa berlaku token dan menggunakan otentikasi berbasis sertifikat.
pibitek.biz -Beberapa tahun lalu, serangan pada otentikasi multifaktor (MFA) itu langka. Tapi sekarang, kasusnya makin banyak. Para peretas mengincar token yang dikeluarkan setelah MFA dilakukan. Mereka bisa memalsukan token itu untuk masuk ke perangkat baru. Pencurian token ini berbahaya karena tidak butuh keahlian khusus dan sulit dideteksi. Sebab, teknik ini masih baru dan belum banyak organisasi yang punya cara mengatasinya.
2 – Startup AI Perplexity Bidik Pendanaan 7 Triliun 2 – Startup AI Perplexity Bidik Pendanaan 7 Triliun
3 – AI: Ancaman Baru bagi Keamanan Siber 3 – AI: Ancaman Baru bagi Keamanan Siber
Microsoft pun memperingatkan, pencurian token makin marak. Para penyerang bisa mengompromikan token yang dikeluarkan untuk pengguna yang sudah menyelesaikan MFA. Dengan memutar ulang token yang dikompromikan, pelaku bisa mengakses sumber daya penting organisasi.
Ini membuat para ahli keamanan khawatir karena mitigasi pencurian token masih minim dan sulit dideteksi. Ketika pengguna membuka aplikasi web yang dilindungi Azure AD, mereka harus menunjukkan token yang valid. Token ini didapat setelah pengguna masuk ke Azure AD dengan kredensial mereka.
Misalnya, admin dapat membuat kebijakan yang mewajibkan MFA bagi pengguna untuk masuk ke akun melalui browser. Aplikasi web akan memvalidasi token yang dikeluarkan untuk pengguna, lalu memberikan akses. Microsoft menjelaskan, "Ketika pengguna di-phishing, infrastruktur jahat akan menangkap kredensial dan token mereka".
Jika token dan kredensial dicuri, penyerang bisa melakukan banyak serangan. Microsoft menggarisbawahi, kejahatan siber jadi penyebab utama kerugian finansial akibat kompromi email dalam bisnis. Selain itu, Microsoft juga mewanti-wanti serangan "Pass-the-cookie".
Dalam serangan ini, penyerang mengompromikan perangkat untuk mencuri cookie browser yang dibuat setelah otentikasi dengan Azure AD. Kemudian, penyerang mentransmisikan cookie itu ke browser lain untuk melewati pemeriksaan keamanan. "Pengguna yang mengakses sumber daya perusahaan melalui perangkat pribadi sangat berisiko", kata Microsoft.
Perangkat pribadi biasanya kurang aman daripada perangkat yang dikelola perusahaan. Staf TI juga punya visibilitas terbatas untuk mengidentifikasi kompromi. Pekerja jarak jauh yang menggunakan perangkat pribadi berisiko lebih tinggi.
Microsoft menyarankan beberapa langkah untuk mencegah serangan pencurian token terhadap MFA. Salah satunya, mengurangi masa berlaku token dan durasi sesi. Namun, hal ini bisa mengganggu kenyamanan pengguna.
Mitigasi lain yang disarankan Microsoft, antara lain: Gunakan otentikasi berbasis sertifikat untuk kunci keamanan seperti Windows Hello for Business atau kunci keamanan FIDO2. Kemudian, pengguna dengan hak istimewa tinggi, seperti admin domain global, harus memiliki identitas cloud terpisah. Ini akan mengurangi permukaan serangan ke cloud jika penyerang mengompromikan sistem di tempat.
