Ignorar o MFA é tão fácil quanto 1..2..3..!
Ignorar o MFA é tão fácil quanto 1..2..3..!
À medida que as organizações trabalham para se tornar cada vez mais seguras, implementar a autenticação multifator é geralmente uma das primeiras coisas que fazem, pois geralmente é simples de implementar e altamente eficaz. No entanto, mesmo com a MFA em vigor, ela ainda pode ser abusada por agentes de ameaças que obtêm acesso às contas.
Hoje vou falar sobre uma ferramenta red team chamada EvilGinx2 . EvilGinx2 é uma estrutura de ataque man-in-the-middle usada para credenciais de login de phishing junto com cookies de sessão, que por sua vez permite ignorar as proteções MFA.
Antes de começar, note que este NÃO é um tutorial de como implementar o EvilGinx2, mas apenas informações sobre a ferramenta e como ela pode ser útil durante seus compromissos.
Sem mais delongas, vamos pular para ele!
Você pode encontrar o Evilginx2 em sua página oficial do GitHub abaixo, um grande agradecimento a Kuba Gretzky, que criou uma ferramenta tão legal!
A ferramenta atua como um proxy entre um navegador e um site phishing. Ao implementar e configurar um domínio na Internet usando AWS ou Azure, você pode apontá-lo para seu host executando o Evilginx2.
Quando configurado, o Evilginx2 gerará um certificado válido para o site phishing e o clonará com base nos modelos já disponibilizados (por exemplo, Outlook ou Office365).
Quando os usuários visitam o site clonado, eles serão solicitados a inserir seu nome de usuário e senha, juntamente com seu código MFA ou push prompt do Microsoft Authenticator. O usuário será redirecionado para o site legítimo e tudo parecerá normal.
No lado do Evilginx2, você poderá capturar o nome de usuário, a senha e o cookie de autenticação. O que é mais interessante aqui é o cookie, pois contém todas as informações de autenticação de que precisamos para fazer login como usuário sem realmente fazer login.
Podemos simplesmente copiar o cookie obtido do Evilginx2 e usar uma ferramenta de edição de cookies para importar o cookie roubado. Depois que o cookie é importado, é tão fácil quanto navegar até o aplicativo e você estará conectado!
Como você provavelmente já sabe, a implementação da MFA pode ajudar a impedir o acesso não autorizado às contas. No entanto, é importante perceber que existem maneiras de contornar essas proteções e os agentes de ameaças estão sempre procurando maneiras de contorná-las. Nesse caso específico, é importante fornecer aos usuários finais um treinamento de phishing agendado regularmente para ajudar a detectar e-mails de phishing que podem levar a um comprometimento.
Se você quiser brincar com o Evilginx2 por conta própria, existem vários blogs ou vídeos com instruções passo a passo sobre como configurar a infraestrutura e testá-la.
Comentários
Postar um comentário