Negli ultimi anni, l’adozione dell’autenticazione multi-fattore (MFA) si è rivelata una delle contromisure più efficaci per proteggere gli account aziendali dagli attacchi informatici. Tuttavia, nessuna misura di sicurezza è infallibile e gli attori malevoli sono sempre alla ricerca di nuove strategie per eludere i controlli di accesso.
Recentemente, una campagna di attacco avanzata ha sfruttato una debolezza nei sistemi Active Directory Federation Services (ADFS) di Microsoft per aggirare l’autenticazione MFA e ottenere l’accesso non autorizzato a sistemi aziendali critici.
In questa analisi approfondiremo la natura dell’attacco, la sua metodologia e le migliori strategie di mitigazione per contrastare questa minaccia.
Indice degli argomenti
Cos’è Active Directory Federation Services (ADFS)
ADFS è una tecnologia Microsoft che consente l’implementazione del Single Sign-On (SSO) per facilitare l’autenticazione degli utenti su più applicazioni e servizi, sia interni che esterni all’organizzazione. La sua funzione principale è quella di estendere le capacità di autenticazione di Active Directory utilizzando protocolli standard come Security Assertion Markup Language (SAML) e OAuth.
Questa tecnologia è ampiamente adottata da aziende e organizzazioni governative per semplificare la gestione delle identità digitali e migliorare l’esperienza utente.
Tuttavia, se configurata in modo errato, ADFS può introdurre vulnerabilità che possono essere sfruttate per ottenere accessi non autorizzati.
La vulnerabilità sfruttata: come gli hacker bypassano l’MFA
La falla recentemente sfruttata dagli attaccanti risiede nel modo in cui ADFS gestisce il processo di autenticazione MFA.
In determinate configurazioni, è possibile che un attaccante utilizzi un secondo fattore di autenticazione valido associato a un altro account per ottenere l’accesso all’account della vittima.
Il problema tecnico alla base
- Quando un utente tenta di autenticarsi tramite ADFS con il proprio nome utente e password, il sistema richiede un secondo fattore di autenticazione.
- Tuttavia, in alcuni scenari, ADFS non vincola correttamente il secondo fattore all’account specifico dell’utente in fase di autenticazione.
- Se un attaccante è in possesso delle credenziali della vittima e dispone di un secondo fattore valido appartenente a un altro utente registrato sullo stesso sistema, può utilizzarlo per completare l’autenticazione.
Questa debolezza, unita all’uso di credenziali compromesse ottenute tramite attacchi di phishing, permette agli aggressori di superare l’MFA e ottenere accesso illimitato ai sistemi aziendali.
Metodologia d’attacco: il processo in dettaglio
L’attacco si sviluppa attraverso una serie di fasi ben definite.
Raccolta delle credenziali
Gli attaccanti ottengono credenziali aziendali valide attraverso campagne di phishing mirate. In particolare, vengono raccolte le credenziali di:
- Utente A: la vittima principale dell’attacco.
- Utente B: un altro utente aziendale la cui autenticazione MFA è già compromessa.
Le credenziali possono essere ottenute tramite email di phishing, attacchi di credential stuffing o malware keylogger.
Accesso ai portali di autenticazione
L’attaccante apre sessioni separate su due browser o in modalità incognito:
- In una sessione, avvia il login per l’Utente A con le credenziali compromesse.
- Nell’altra, effettua il login per l’Utente B con il secondo fattore di autenticazione valido.
Bypass dell’MFA
Quando ADFS richiede il secondo fattore per completare l’autenticazione dell’Utente A, l’attaccante fornisce quello appartenente all’Utente B. Se il sistema non controlla rigorosamente la corrispondenza tra l’utente che ha inserito le credenziali e quello che sta confermando l’MFA, l’accesso viene concesso.
Questo attacco sfrutta una configurazione errata in alcune implementazioni di ADFS, dove il legame tra username e secondo fattore non è strettamente verificato.
Tecniche avanzate di phishing usate nell’attacco
Gli attaccanti utilizzano tecniche di phishing altamente sofisticate per ottenere le credenziali necessarie:
- Email di phishing mirate: messaggi fraudolenti che sembrano provenire da fonti affidabili, come il reparto IT dell’azienda, invitano l’utente ad aggiornare la propria password o a eseguire un’autenticazione urgente.
- Pagine di login false: portali contraffatti che replicano l’aspetto del vero sistema ADFS dell’azienda, catturando nome utente, password e codice MFA.
- Attacchi man-in-the-middle (MitM): strumenti avanzati come Evilginx intercettano la comunicazione tra l’utente e il sistema autentico, sottraendo token di sessione e bypassando del tutto l’MFA.
Strategie di mitigazione: come proteggersi
Per proteggersi da questo tipo di attacchi, le organizzazioni devono adottare una strategia multilivello.
1. Aggiornamento delle configurazioni ADFS
- Assicurarsi che MFA sia strettamente legato all’identità dell’utente che sta effettuando l’accesso.
- Implementare controlli di sessione avanzati per identificare tentativi di autenticazione sospetti.
2. Implementazione di MFA resistente al phishing
- Utilizzare soluzioni FIDO2/WebAuthn, che eliminano la dipendenza da OTP e SMS.
- Evitare MFA basato su email o SMS, che può essere intercettato.
3. Formazione degli utenti e sensibilizzazione
- Addestrare i dipendenti a riconoscere tentativi di phishing avanzati.
- Simulare attacchi di phishing interni per migliorare la consapevolezza.
4. Monitoraggio e rilevamento delle anomalie
- Utilizzare strumenti di SIEM (Security Information and Event Management) per rilevare schemi di autenticazione sospetti.
- Impostare alert per login simultanei da luoghi geografici differenti.
5. Applicazione del principio Zero Trust
- Implementare il modello Zero Trust, che verifica continuamente l’identità degli utenti e monitora il loro comportamento anche dopo l’accesso.
- Integrare soluzioni di accesso adattivo basate sul rischio.
Cosa impariamo
L’attacco che sfrutta ADFS per aggirare l’MFA rappresenta una minaccia significativa per le organizzazioni che utilizzano questo sistema per la gestione delle identità.
Tuttavia, con una corretta configurazione, l’adozione di MFA avanzato e l’implementazione di modelli di sicurezza Zero Trust, è possibile mitigare efficacemente il rischio e proteggere le risorse aziendali da accessi non autorizzati.
