Flerfaktorsautentisering belyser både det bästa och det sämsta i företagens it-säkerhet. Som Roger Grimes redan för tre år sedan skrev i en artikel om tvåfaktorshack är flerfaktorsautentisering (multi-factor authentication, MFA) verksamt om det görs rätt – men om it-cheferna tar genvägar kan det ta en ände med förskräckelse.

MFA är långt ifrån universellt, även om fler och fler organisationer använder det. Enligt en undersökning som Microsoft genomförde i fjol var det 99,9 procent av komprometterade konton som inte använde MFA alls. Bara 11 procent av alla företagskonton skyddades av något slags MFA-metod.

Pandemin har varit både bra och dålig för MFA. Pandemin har ju förändrat datoranvändningen för många företagsanvändare. Nedstängningar och distansarbete har drivit fram införande av MFA – men också gett hackare tillfälle till nätfiske.

Men attacker och incidenter senaste tiden visar att säkerhetsproffs har en del att göra om de vill ha säkra system för autentisering med två eller fler faktorer.

Här är några sätt för angripare att utnyttja svagheterna i MFA.

5 grundläggande attackmetoder mot MFA

1. Man-i-mitten-attacker med sms

Det största problemet med MFA har att göra med det allra vanligaste utförandet: engångslösenord som skickas med sms. Detta problem beror på att det är enkelt för hackare att kompromettera användares smarta mobiler och tillfälligt flytta över numret till en telefon som de har. Ett sätt att göra detta illustreras av denna tweet:

Där kan man se säkerhetskoden som visas i en hårdvarunyckel fotograferad med en offentlig webbkamera. Detta må vara ett extremfall, men sms-komprometteringar förblir något som minskar trovärdigheten i sms-inloggningar.

Det finns flera sätt att genomföra en sådan attack. Ett är att muta eller övertala en säljare på ett mobilföretag att flytta ett telefonnummer. Ett annat har demonstrerats av en reporter på tidningen Vice, som använde en kommersiell tjänst för att komma åt sitt mobilkonto. Han betalade 16 dollar och kunde sedan dirigera om alla sina inkommande sms. Det visar hur enkelt det kan vara att kompromettera ett konto.

2. Attacker mot kodleveranskedjan

Den mest ökända attacken mot kodleveranskedjan på senare tid är Solarwinds-attacken. Den genomfördes genom att delar av koden till ett it-system infekteras. De angripna företagen laddar sedan ner dessa bitar av kod utan att förstå att de är angripna. Det finns flera sätt att stoppa sådana attacker. Ett är att skanna källkoden vid exekvering.

Och, som Kasey Panetta på Gartner skrev i en blogg i januari 2021: ”Kom ihåg att Solarwinds-attacken upptäcktes av en vaksam säkerhetsoperatör som undrade varför en anställd ville registrera en extra telefon för flerfaktorsautentisering. Det tydde på att angriparen tänkte utnyttja identitet, närmare bestämt MFA, som attackvektor.”

Denna typ av attacker är fortfarande ett problem. I april upptäckte Codecov, ett företag som marknadsför utvecklingsverktyg, en sådan attack mot verktyget Bash Uploader. Autentiseringsuppgifter manipulerades av hackaren. Det var möjligt på grund av dåligt skydd för en Docker-avbild. Verktyget hade manipulerade miljövariabler infogade i koden, och ett sätt att spåra detta var att spåra de mottagande ip-adresserna till ledningsservrarna.

3. Kompromettering av autentiseringsflödet i MFA genom ett kryphål

Ett annat kryphål i MFA illustreras av en sårbarhet i MFA-modulen i Liferay DXP v7.3. Den orsakar funktionsförlust. En nyligen upptäckt bugg ger alla registrerade användare möjlighet att autentisera sig genom att ändra en annan användares engångslösenord. Vilket leder till att den angripna användaren inte kan logga in. Buggen har rättats till.

4. Stjäl-kakan-attacker

Detta är en attackmetod som utnyttjar kakor i webbläsare och sajter som lagrar autentiseringsdetaljer i kakor. Kakor är till för att förenkla för användarna, så att de kan förbli inloggade på sina tjänster. Men om en hackare kommer åt uppgifterna i kakan kan de ta över kontot.

5. Förfalskningar på serversidan

Den kanske viktigaste attackmetoden på senare tid, även om den inte enbart gäller MFA, är den som kallades för Hafnium. Den bestod av en serie av attacker. Då ingick förfalskningar på serversidan och en bugg som godtyckligt kunde skriva filer och därmed omintetgöra all autentisering med Microsoft Exchange-servrar. Attacken bygger på fyra dag noll-attacker i Microsoft Exchange. Microsoft har skickat ut ett antal patchar.

Flerfaktorsautentisering på rätt sätt

Vi har nämnt några av de mest kända attackmetoderna. Slutsatsen är att MFA måste utformas med omsorg för att bli säkert. ”Dålig MFA är som billiga solglasögon”, säger Garrett Bekker, senior undersökningsanalytiker på S&P Global Market Intelligences 451 Research. Han menar att dålig MFA inte är mycket att komma med när det gäller cybersäkerhet:

– Men den viktigaste anledningen till att företag inte använder det mer är den dåliga användarupplevelsen.

Han nämner ett annat problem:

– MFA är fortfarande ett binärt val, som utkastaren på ett nattklubb. När du väl är inne i ett företagsnätverk så kan du göra vad du vill, och det är egentligen ingen som vet vad du har för dig. För att bli effektivt måste MFA kombineras med nolltillit och med tekniker för kontinuerlig autentisering.”

Det finns många leverantörer som kombinerar MFA med adaptiva autentiseringsprodukter, men att få dem på plats är långt ifrån enkelt.

Återställning av konton är något som måste diskuteras. Många företag har rejält MFA-skydd för vanliga inloggningar på konton, men om en användare glömmer sitt lösenord så börjar återställningen med att det skickas ett lösenord som sms. På så sätt kan hackare ta sig in i nätverket.

Gerhard Giese från Akamai påpekade detta i ett blogginlägg. Han skrev då om att MFA inte alltid förhindrar ”credential stuffing” (inloggning med uppgifter som har kopierats från ett annat konto). Han skriver att it-chefer behöver ”se över arbetsflödena för återställning och även inloggningssidorna för att säkerställa att angripare inte kan upptäcka giltiga inloggningsuppgifter genom att undersöka webbserverns respons. De bör också införa något som löser hanteringen av bottar för att se till att inte göra det enkelt för skurkarna.”

I början av 2021 skickade amerikanska Cert ut en varning om potentiella brister i MFA. Det gällde bland annat nätfiske och uttömmande inloggningsförsök. Cert rekommenderade flera tekniker, bland annat att göra MFA obligatoriskt för all autentisering, inklusive kontoåterställning, och högre säkerhet för privilegierad access.

MFA bör ingå i den kritiska infrastrukturen för alla företags it-säkerhet. Attackerna på senare tid, liksom uppmaningar från experter på myndigheter och i den privata sektorn, borde bli en drivkraft för intelligent genomförande.