Fram tills för bara ett par år sedan var attacker mot multifaktorsautentisering mycket sällsynta och MFA som det förkortas uppfattas som ett väldigt starkt skydd av företagens nätverk. 

Men nu kommer allt fler rapporter om att hackare har börjat hitta vägar att ta sig förbi de här teknikerna och på så sätt komma åt företags system och resurser.

Computer Sweden har tidigare skrivit om hur säkerhetsexperter börjat varna för den här utvecklingen.

Nu går Microsoft Detection and Response Team ut med en varning om en ny taktik som kriminella använder sig av. De har identifierat en ökning av stulna tokens som utfärdats till en användare som slutfört sin multifaktorsautentisering, och denna återanvänds senare av hackarna för att ta sig in i systemen.

I varningen skriver Microsoft:

”Genom att angripa och återge en token som utfärdats till en identitet som redan har slutfört multifaktorsautentisering, så uppfyller hotaktören valideringen av MFA och får därmed tillgång till organisatoriska resurser. Det här är en oroande teknik för försvaret, eftersom expertisen som krävs för att kompromettera en token är väldigt låg, svår att upptäcka och väldigt få organisationer har åtgärder för stöld av tokens i sina incidentresponsplaner”.

Stjäl en token

Microsofts säkerhetschef i Sverige, Sandra Elvin, säger till Computer Sweden att ökningen av attacker mot MFA kommer i ett läge där allt fler har börjat använda sig av de här lösningarna för att skydda sig mot cyberhot.

– Nu har vi talat väldigt mycket om multifaktorsautentisering ett par år och både konsumenter och företag har blivit bättre på att använda det. Det har varit effektivt. Då ökar tyvärr incitamenten för elaka krafter att ta sig runt det. Till slut hittar de sårbarheter och det är det som sker nu.

Sandra Elvin
Sandra Elvin.

Sandra Elvin berättar att hackare börjat använda sig av metoder som kallas ”pass the cookie” och ”token replay”, för att ta sig in i företagens system. När man autentiserat sig mot en applikation av något slag får man en token eller en cookie (det kan också vara ett certifikat men det är inte aktuellt vad gäller de här attackerna).

Det är dessa tokens som har börjat stjälas. Själva stölden sker antingen via nätfiske, skadlig kod eller så kallade man-i-mitten-attacker, där hotaktören tar sig in mellan den legitima användaren och applikationen eller infrastrukturen de vill komma åt.

Begränsa giltighetstiden

Det finns dock åtgärder som organisationer kan ta till för att minska riskerna. För det första är det viktigt att påpeka att även om vi nu talar om sårbarheter i MFA, så är det väldigt mycket bättre att ha en sådan lösning än att låta bli att implementera en sådan, säger Sandra Elvin.

– MFA, tillsammans med andra grundläggande skyddsåtgärder som implementering av ett bra antivirusprogram och löpande uppdateringar, skyddar ändå mot 98 procent av kända attacker.

– Men vad man kan göra sedan är att hålla nere sessionslängden eller tidsfönstret som en nyckel är öppen och som den går att använda.

På det sättet minskar man tidsutrymmet för hotaktören.

– Dessutom kan man göra begränsningar så att den här typen av sårbarheter inte finns tillgängliga för användare med priviligerade accesser och extra höga behörigheter.

– Det är en väldig skillnad på om en lönehandläggare eller administratör får sin identitet kapad och om en person med höga behörigheter får det. Då utsätts verksamheten för en helt annan risk.

I bloggposten från Microsoft Detection and Response Team listas ytterligare åtgärder.

Distansarbete en orsak

Sandra Elvin säger vidare att visibilitet i de här sammanhangen är kritisk, det vill säga att ha koll på hur attackerna sker, att förstå signalerna i systemen och förbereda sig. Det går att aktivt konfigurera systemen och upptäcka vad som är på gång.

De nya hoten mot multifaktorsautentisering kommer i en tid där allt fler arbetar på distans eller i en hybridmodell, och det här gör också systemen mer sårbara för att en hotaktör kan ta sig in för att till exempel för att till exempel avlyssna en användare eller stjäla en cookie eller en token.

– Det är fler som använder sig av egen dator eller egen nätverksutrustning, som inte har lika hög säkerhet som den de har på kontoret. På kontoret finns också en säkerhetsavdelning som ser till så att systemen patchas och konfigureras säkert.

– Användare har även blivit sämre på att separera jobb från privata aktiviteter. Sättet vi använder utrustningen på har förändrats, vi har blivit mer vårdslösa och löper större risk för att hamna på hemsidor med skadlig kod eller nätfiske med våra arbetsenheter.

Hitta rätt balans

De skydd som rekommenderas kan dock göra det mer otympligt med distansarbetet och här gäller det för företag att hitta en balans som passar deras verksamhet.

– Det går att likna det vid ett hus. Om du har sju lås blir det svårare för inbrottstjuv att ta sig, men det blir också krångligare för dig själv.

– Därför är det svårt att ge generella svar på vilken nivå man ska lägga sig. Tycker användarna att det är rimligt att logga in med MFA var sjätte timme eller varannan dag? Det kan skilja sig åt och det kan också vara olika för olika branscher, om det är ett högteknologiskt företag eller ett i detaljhandeln.

Det här är en global varning som ni går ut med nu – utmärker sig Sverige på något sätt i det här sammanhanget, är vi mer eller mindre sårbara än andra länder?

– Vi kan inte se längre att Sverige utmärker sig mot jämförbara länder. Tidigare stack Sverige ut positivt som ett land med hög cybersäkerhetsmognad. Men det har förändrats och under de senaste tio åren har Sverige snarare sackat efter. Sådant här slår lika hårt mot Sverige som mot andra länder.

Hur är då organisationerna på att skydda sig mot nya hot som dessa?

– Många har svårt att hinna med cybersäkerhet. De har inte tillräckligt med resurser och då pratar vi inte om pengar, utan om personal. Det är många som har en teknisk skuld och får lägga tid på att hantera gamla system.

– Vi försöker automatisera våra inbyggda skydd, men det är en svår avvägning och svårt att hitta en lösning som passar alla.