Los investigadores de ciberseguridad han descubierto métodos sofisticados para evitar la autenticación multifactorial (MFA) resistente a phishing de Microsoft al aprovechar los flujos de autenticación del código del dispositivo y los tokens de actualización primarios (PRT).
De esta manera, un atacante puede registrar una clave de negocios de Windows Hello, creando efectivamente una puerta trasera sostenible incluso en entornos con estrictas políticas de MFA.
Esta técnica se desarrolló originalmente para la competencia interna de captura “entadora” de captura (CTF). Los participantes tuvieron que superar el desafío de permitir el acceso solo utilizando MFA resistente al phishing.
Los investigadores encontraron que MFA puede aplicarse durante la autenticación manipulando los parámetros de solicitud, independientemente de las políticas de seguridad existentes.
“Después de una breve prueba, ¡nuestra suposición fue correcta!” Los investigadores declararon, señalando sus hallazgos, descubriendo que el parámetro “amr_values = ngcmfa” podría obligar a los usuarios a realizar MFA durante el flujo de autenticación.
Mecanismo de ataque
El ataque aprovecha el código del dispositivo del dispositivo y combina un enfoque de Midstream (AITM). Esto comienza cuando la víctima accede a una página maliciosa que obtiene la interfaz de inicio de sesión de Microsoft utilizando una URL especialmente creada que contiene parámetros específicos.
Autenticación Broker ID del cliente (29D9ED98-A469-4536-ADE2-F981BC1D605E) URL de recursos que apunta a la aplicación de servicios registrados de Microsoft de una URI específica URI específica (MS-APPX-WEB: //microsoft.aad) que los critican el “AMR_VALUS” AMR_VALUS = NGCMFA “.
Una vez que el usuario completa la autenticación (incluida la MFA), el atacante obtiene un código de autorización que se puede intercambiar para que pueda actualizarse con el token de acceso. Con estos tokens, el atacante es:
Solicitudes de registro de un nuevo dispositivo con ID de Entra enriquece el PRT con los reclamos NGCMFA para el token de actualización principal para ese dispositivo.
El impacto en el sigilo
Este ataque es particularmente preocupante porque es difícil de detectar. “Desde la perspectiva de un usuario, es extremadamente difícil detectar la adición de una nueva clave WHFB”, explicaron los investigadores. Los métodos de autenticación violados no se muestran en la página de cuenta de los usuarios que enumeran otros métodos de autenticación.
Detectar estas llaves maliciosas también es un desafío para los administradores. El diseño de Microsoft evita que los administradores vean sus propios métodos de autenticación con su ID de Entra y deben verificar la actividad sospechosa de otro administrador.
Los investigadores describieron varias estrategias de prevención.
Todos los usuarios que implementan AITM Mitigation Alert usuarios y administradores implementan la mitigación de AITM para hacer cumplir las políticas de cumplimiento del dispositivo y prohíben que las políticas de cumplimiento del dispositivo apliquen a todos los usuarios bloquear o limitar el flujo del código del dispositivo
Sin embargo, la detección sigue siendo un problema. Debido a las limitaciones de las capacidades de registro de auditoría de ID de ENTRA, los investigadores enfrentaron dificultades para correlacionar el inicio de sesión interactivo con la creación de dispositivos o el registro de la clave WHFB.
Esta técnica se basa en el trabajo previo del investigador de seguridad Dirk-Jan Molema, quien demostró un ataque de phishing PRT similar en 2023. Los avances actuales se centran en garantizar que los MFA se apliquen durante la autenticación, lo que les permite implementar una cadena de ataque completa contra entornos con políticas de seguridad estrictas.
A medida que las organizaciones dependen cada vez más de métodos de autenticación sin contraseña como Windows Hello, este estudio destaca la importancia de un enfoque profundo, no solo el MFA resistente al phishing.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
