Fishingdan himoyalangan MFA ham aldandi: Microsoft Entra ID’da yangi zaiflik aniqlandi

So‘nggi kunda kiberxavfsizlik olamida yana bir xavotirli yangilik yangradi. Xavfsizlik tadqiqotchilari Microsoft Entra ID tizimida “phishing” (firibgarlik orqali ma’lumot o‘g‘irlash) usuliga chidamli ko‘p bosqichli autentifikatsiyani (MFA) aylanib o‘tishga imkon beruvchi yangi uslubni aniqladilar.

Bu uslub, aslida, dastlab “EntraIDiots” nomli Capture The Flag (CTF) musobaqasi doirasida tajriba sifatida sinab ko‘rilgan edi. Unda qatnashuvchilarga faqatgina phishingga bardoshli MFA orqali kirish imkoniyati berilgan edi. Ammo tadqiqotchilar authentication so‘roviga ma’lum parametrlarga o‘zgartirish kiritib, bu tizimni aldash mumkinligini aniqladilar.

Bu xavfli texnika quyidagi bosqichlar orqali amalga oshiriladi:

  1. Jabrlanuvchi maxsus tayyorlangan zararli veb-sahifaga kiradi.
  2. Ushbu sahifa Microsoft’ning kirish interfeysini chaqiradi, u esa quyidagi maxsus ma’lumotlarni o‘z ichiga oladi:
    • Authentication Broker uchun maxsus identifikator: 29d9ed98-a469-4536-ade2-f981bc1d605e
    • Microsoft ro‘yxatga olish xizmatining manzili
    • Eng muhim parametr: amr_values=ngcmfa — bu MFAni majburiy qiladi
    • Qayta yo‘naltirish manzili: ms-appx-web://Microsoft.AAD.BrokerPlugin
  3. Jabrlanuvchi MFAni bajargach, xakerlar authorization code (autentifikatsiya kodi)ga ega bo‘lishadi.
  4. Ushbu kod yordamida ular quyidagilarga erishishadi:
    • Yangi qurilmani Entra ID tizimiga ro‘yxatga olish
    • PRT (Primary Refresh Token) olish
    • WHFB (Windows Hello for Business) kalitini ro‘yxatdan o‘tkazish
    • Shu kalit asosida yangi PRT ishlab chiqish

Bu orqali xakerlar tizimda doimiy orqa eshik (backdoor) yarata oladilar. Eng xavflisi, bu jarayon foydalanuvchining akkaunti ichida deyarli sezilmaydi.

Nega bu usul xavfli?

  • Yashirin kirish kaliti foydalanuvchi akkauntining autentifikatsiya usullari ro‘yxatida ko‘rinmaydi.
  • Administratorlar ham o‘zlarining autentifikatsiya metodlarini ko‘ra olmaydi, buning uchun boshqa administrator kerak bo‘ladi.
  • Audit loglar yetarli darajada ma’lumot bermaydi — bu esa tahdidni aniqlashni yanada qiyinlashtiradi.

Himoyalanish yo‘llari qanday?

Tadqiqotchilar quyidagi choralarni tavsiya etishmoqda:

  • Barcha foydalanuvchilar uchun phishingga chidamli MFAni majburiy qilish.
  • Adversary-in-the-Middle (AiTM) usuliga qarshi ogohlantiruvchi tizimlar joriy etish.
  • Entra ID’da qurilma ro‘yxatdan o‘tishini cheklash.
  • Compliance siyosatlarini qat’iy nazoratga olish.
  • Device code flowni cheklash yoki butunlay o‘chirib qo‘yish.

Tadqiqot mualliflari bu yondashuvni 2023-yilda Dirk-jan Mollema tomonidan ishlab chiqilgan PRT phishing uslubining davomchisi sifatida baholashmoqda. Farqi shundaki, endi MFA talab qilinadigan muhitlarda ham aldov yo‘li bilan foydalanuvchidan autentifikatsiyadan o‘tish majburiy qilinadi va bu orqali tizimni egallash mumkin bo‘ladi.

Bu holat Microsoft Entra ID foydalanuvchilari uchun ogohlantiruvchi misol bo‘lib xizmat qiladi. Har qanday tizim, hatto eng zamonaviy himoya vositalariga ega bo‘lsada, ko‘p qatlamli, chuqurlashtirilgan himoya strategiyasisiz zaif bo‘lishi mumkin. Parolsiz autentifikatsiyaga o‘tish — yechim emas, balki xavfsizlik yondashuvining bir qismi, xolos.