Майкрософт принудительно использует сопоставление номеров в push-уведомлениях MFA

Корпорация Майкрософт начала принудительно использовать сопоставление номеров в push-уведомлениях Microsoft Authenticator, чтобы отразить атаки с использованием многофакторной аутентификации (MFA).

В ходе таких атак (также известных как push-бомбардировка или MFA push-спам) киберпреступники забрасывают цели мобильными push-уведомлениями с просьбой одобрить попытки входа в их корпоративные учетные записи с использованием украденных учетных данных.

Во многих случаях цели поддаются повторяющимся вредоносным push-запросам MFA либо по ошибке, либо для того, чтобы остановить кажущийся бесконечным поток предупреждений, позволяя злоумышленникам войти в свои учетные записи.

Этот тип атаки с использованием социальной инженерии уже доказал свою успешность злоумышленниками Lapsus$ и Yanluowang, которые использовали этот метод атаки для взлома крупных организаций, включая Microsoft, Cisco и Uber.

Однако, как было объявлено ранее, корпорация Майкрософт с 8 мая начнет принудительно сопоставлять номера для оповещений Microsoft Authenticator MFA, чтобы блокировать попытки атаки MFA fatigue среди пользователей.

"Сопоставление номеров - это ключевое обновление системы безопасности по сравнению с традиционными уведомлениями о втором факторе в Microsoft Authenticator. Мы удалим элементы управления администратора и введем в действие функцию сопоставления номеров для всех пользователей push-уведомлений Microsoft Authenticator, начиная с 8 мая 2023 года", - говорится в сообщении Microsoft.

"Соответствующие службы начнут внедрять эти изменения после 8 мая 2023 года, и пользователи начнут видеть совпадение номеров в запросах на утверждение. По мере развертывания служб некоторые могут видеть совпадение номеров, в то время как другие - нет."


Чтобы вручную включить сопоставление номеров до того, как Microsoft удалит элементы управления администратора, вам необходимо перейти в раздел Безопасность> Методы аутентификации> Microsoft Authenticator на портале Azure.

Оттуда выполните следующие действия:

На вкладке "Enable and Target" нажмите "Yes" и "All users", чтобы включить политику для всех или добавить выбранных пользователей и группы. Установите Authentication mode для этих пользователей/групп на Any или Push.
На вкладке Configure в разделе Require number matching for push notifications измените статус на Enabled, выберите, кого включить или исключить из сопоставления номеров, и нажмите Save.

Вы также можете включить сопоставление номеров для всех пользователей или отдельной группы с помощью Graph API (подробная информация доступна здесь).

"Если у пользователя другой метод аутентификации по умолчанию, никаких изменений в его входе по умолчанию внесено не будет", - говорится в сообщении Microsoft, - "Если методом по умолчанию является Microsoft Authenticator и пользователь указан в любой из следующих политик, он начнет получать подтверждение соответствия номера после 8 мая 2023 года".

Те, кто хочет добавить дополнительную линию защиты от атак MFA fatigue, могут также ограничить количество запросов аутентификации MFA для каждого пользователя (Microsoft, DUO, Okta) и заблокировать учетные записи или предупредить службу безопасности/ администратора домена о превышении этих пороговых значений.

08.05.2023
https://www.bleepingcomputer.com/ne...number-matching-to-fight-mfa-fatigue-attacks/​