Tecnologia
Prodotti
Settori
Notizie
Eventi
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Settori
Notizie
Blog
Eventi
Risorse
Azienda

Autenticazione a due fattori (2FA) compromessa: compromissione di account Microsoft

Max Heinemeyer, Director of Threat Hunting | giovedì 18 febbraio 2021

Oggi quasi un terzo delle aziende fa affidamento sull’autenticazione a due fattori (2FA). Questo sistema prevede che l’utente presenti più di un metodo di autenticazione quando accede ad un account. Ciò impedisce ai pirati informatici di utilizzare semplicemente le credenziali di tipo password per violare un sistema; per accedere ad un account sono necessari invece livelli di sicurezza aggiuntivi, come biometria (inerenza), informazioni personali (conoscenza) o un codice inviato ad un telefono o indirizzo e-mail (possesso). Ma cosa succede quando il processo 2FA stesso è stato compromesso?

Recentemente Darktrace ha rilevato proprio questo scenario, in cui un account Microsoft 365 era stato violato e il pirata informatico aveva temporaneamente modificato le impostazioni di autenticazione in modo che i codici SMS fossero inviati al suo telefono. L’attacco aveva come obiettivo l’integrazione nelle attività dell’utente e il rimanere non rilevato. Tuttavia, Darktrace ha identificato la compromissione dell’account, rilevando impercettibili anomalie nel comportamento dell’utente, inclusi accessi sospetti, creazione di regole di posta elettronica insolite ed eliminazione di file.

Si è verificato un netto aumento di questi attacchi basati su SaaS e non si tratta di una sorpresa, poiché le aziende fanno sempre più affidamento sulle piattaforme SaaS per la gestione delle proprie attività da remoto. Oggi Microsoft 365 è utilizzato abitualmente all’interno delle organizzazioni come strumento di posta elettronica, gestione utenti, archiviazione e condivisione di file. Questo fenomeno ha enormemente ampliato la superficie di attacco e fornisce ai pirati informatici fantastiche opportunità da sfruttare. Le piattaforme SaaS sono spesso statiche e i team della sicurezza tendono ad avere mancanza di visibilità su di esse e hanno difficoltà a correlare gli eventi all’interno di queste numerose piattaforme.

La Cyber AI di Darktrace protegge l’intero ambiente SaaS, garantendo una protezione completa sulle piattaforme Microsoft 365 e Azure. In questo caso, il cliente stava utilizzando il modulo Microsoft 365. Anche se l’attacco aveva bypassato tutti gli altri strumenti di sicurezza, è stato identificato dal connettore Microsoft 365 di Darktrace e indagato dal Cyber AI Analyst, la prima tecnologia al mondo di indagine basata sull’AI, che ha automaticamente analizzato, interpretato e segnalato l’ambito completo degli incidenti di sicurezza.

Come un account Microsoft è stato compromesso attraverso un 2FA

Di recente un account appartenente ad un utente che lavora nel team finanziario di un’azienda con circa 10.000 utenti Microsoft 365 è stato compromesso. Molto probabilmente l’infezione iniziale è avvenuta perché il dipendente aveva fatto clic su un link pericoloso contenuto in un’e-mail di phishing.

Figura 1: sequenza dell’attacco

Darktrace ha iniziato a rilevare accessi sospetti all’account Microsoft 365 da sedi insolite, negli Stati Uniti e in Ghana. Questi accessi avevano superato correttamente il sistema di sicurezza con autenticazione a più fattori (MFA), poiché il pirata informatico aveva impercettibilmente manipolato i dettagli dell’utente, modificando il numero di telefono registrato in modo che il messaggio di testo per l’autenticazione fosse inoltrato direttamente a lui.

Figura 2: la console SaaS dedicata di Darktrace mette in evidenza l’attività insolita all’interno di Microsoft 365

Il sistema 2FA può essere compromesso utilizzando diverse tattiche. Può essere violato attraverso un attacco di SIM swapping o l’uso di applicazioni OAuth pericolose. Un pirata informatico può anche fare ricorso ad un attacco di phishing o social-engineering e lavorare in tempo reale per utilizzare la one-time password nello stesso momento in cui la vittima la inserisce nella pagina di phishing.

Monitorando gli accessi insoliti, Darktrace ha rilevato che il pirata informatico aveva modificato le regole di posta elettronica relative all’account utente compromesso, nonché di numerose caselle di posta in arrivo condivise, inclusa una correlata al controllo dei crediti.

Durante questo periodo, è stato rilevato l’accesso da parte del pirata informatico a numerose e-mail all’interno della casella di posta in arrivo dell’utente compromessa. Il pirata informatico aveva setacciato la casella di posta in arrivo alla ricerca di dati sensibili o per prendere dimestichezza con la normale attività e lo stile di scrittura dell’utente, per poter poi creare e-mail di phishing personalizzate e credibili in grado di impersonificare il proprietario dell’account. Inoltre, il pirata informatico aveva eliminato numerose e-mail di tale utente, nel tentativo di nascondere le proprie tracce.

Mentre il resto dello stack di sicurezza dell’organizzazione non era in grado di rilevare questa minaccia, il connettore Microsoft 365 di Darktrace ha rilevato il comportamento anomalo e avviato un’indagine automatica tramite il Cyber AI Analyst. È intervenuto quindi il team della sicurezza, prima che il pirata informatico fosse in grado di sfruttare completamente alcune delle caselle di posta elettronica più critiche.

Se il pirata informatico avesse potuto continuare, avrebbe potuto accedere a proprietà intellettuali (PI) e dati finanziari sensibili relativi all’organizzazione e ai suoi clienti. Questo sarebbe stato uno strumento per future richieste di pagamenti fraudolenti, che comportano per le organizzazioni costi pari a decine di migliaia di dollari.

Cyber AI Analyst indaga sulla minaccia

Modellato sulla base di centinaia di cyber analyst esperti, Cyber AI Analyst esegue autonomamente indagini che riguardano la gamma completa di minacce, inclusa la compromissione di account SaaS. In questo caso, ha correlato insieme gli accessi anomali e il comportamento dell’utente e generato un riepilogo dell’incidente redatto in un linguaggio naturale, pronto per essere analizzato. Per fare ciò, a un analista umano sarebbero servite tre ore di tempo. Cyber AI Analyst invece lo ha fatto in pochi secondi, comportando un risparmio di tempo pari al 92%.

Figura 3: dimostrazione di come Cyber AI Analyst segnala accessi insoliti a file e account

Conclusioni

Oggi la forza lavoro dinamica è più che mai dispersa e fa affidamento su applicazioni SaaS e sistemi IT estesi per la gestione di dati preziosi. In questo mondo digitalizzato e globalizzato, anche la cyber security deve essere onnipresente, garantendo una visibilità completa all’interno di tutto l’ambiente digitale.

Questo attacco informatico era mirato e sofisticato. Il pirata informatico aveva utilizzato credenziali compromesse, quindi prima dell’accesso avvenuto correttamente, non era stata individuata alcuna attività di brute force. Inoltre, il pirata informatico era riuscito ad oltrepassare il sistema di autenticazione a due fattori, nonché a nascondere i propri attacchi eliminando e-mail e integrandosi all’interno delle attività legittime dell’utente.

Tuttavia, l’AI di Darktrace, ha rilevato le impercettibili anomalie nei comportamenti dell’utente e pertanto ha identificato una presenza indesiderata all’interno dell’ambiente aziendale. Darktrace è in grado di proteggere da attacchi che riguardano Cloud e SaaS durante tutto il ciclo di vita dell’attacco, dall’e-mail di spear phishing iniziale alla compromissione completa dell’account, anche quando altri metodi di sicurezza, come 2FA, sono stati compromessi. Nel caso di questi attacchi, la rilevazione e la risposta precoci sono fondamentali. Se Darktrace non avesse rilevato l’attacco, l’azienda avrebbe subito ripercussioni reputazionali e finanziarie significative.

Grazie a Brianna Leddy, analista di Darktrace, per il suo contributo al rilevamento della minaccia descritto in precedenza.

Scopri maggiori informazioni sulla sicurezza per Microsoft 365 basata sull’AI

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.