パスワードを忘れた? アカウント作成
15768191 story
セキュリティ

攻撃者が多要素認証エンロールの仕組みを悪用し、多要素認証を有効にした組織のアカウントを入手する手法 10

ストーリー by nagazou
手法 部門より
headless 曰く、

多要素認証 (MFA) エンロールの仕組みを悪用し、MFA を有効にした組織のアカウントを攻撃者が入手する手法をセキュリティ企業 Mandiant が解説している (Mandiant のブログ記事Neowin の記事On MSFT の記事)。

MFA を破る手法の一つに、ユーザー名とパスワードを知る攻撃者が MFA のプッシュ通知を送り続けてユーザーが許可してしまうのを待つという方法が知られるが、Microsoft は一致する数字を入力させることによる対策をロールアウトする計画だ。一方、最近増加傾向のみられる MFA エンロールの仕組みを悪用する手法では、初回ログイン時の MFA エンロールを可能にした組織で作成されたまま使われていない休眠アカウントを狙う。こういったアカウントのユーザー名とパスワードを何らかの方法で入手してログインすれば MFA のエンロールも可能となるというわけだ。

記事ではロシアのハッキンググループ APT29 がパスワード推測攻撃で休眠アカウントにログインしてMFAにエンロールし、Azure AD 認証と MFA で守られた組織の VPN インフラストラクチャーへのアクセスを確保した例を紹介している。このような攻撃を回避するため、MFA デバイスの登録時に信頼されたネットワークの場所やデバイスからのアクセスを必須とする条件付きアクセスや、一時アクセスパスの利用が推奨されるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年08月25日 17時28分 (#4312683)

    GRE使うPPTPか!(ヤメナサイ

    • by Anonymous Coward

      まあ、実のところは信頼できるVPNネットワーク接続する端末構築は管理者でちゃんとやる、ってことだと思う。 最近の商用向けVPNアプライアンスの多要素認証機構は大変優秀なので、ワンタイムパスワードのほかに、 特定のADドメインに参加していて、特定のP

  • by Anonymous Coward on 2022年08月25日 17時44分 (#4312693)

    いくらスラドと言えど「エンロール」(登録)なんて単語普通に使って分かる?

    • by Anonymous Coward

      いくらスラドと言えど「エンロール」(登録)なんて単語普通に使って分かる?

      、、、もうない、、、
      というエンドロールなら今しがた見たが、、、

      • by Anonymous Coward

        親コメ全文引用して言うようなネタか?

    • by Anonymous Coward

      よく使うわけではないが分かる単語の部類だろう。
      人事系だとオンボーディングとかも言うよね。

      • by Anonymous Coward

        カタカタ語使うあたしってかこいい!
        なんでしょう、こういう意識高い系はバカとしか思えませんが。

      • by Anonymous Coward

        よく使ってる単語であっても普段アルファベット表記のものをカタカナにされるとわからんこともあるな。 先日のauの障害時に報道で「ボルテが~」と書かれてたが「VoLTE」のことだと瞬時にはわからんかった。

    • by Anonymous Coward

      日本語に訳しづらいほど難しい話なんだ、ふーん。
      って思わせるためには必要でしょ。

    • by Anonymous Coward

      デプロイとか含めたデバイス管理とかしてれば知ってるかも?

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...