A Microsoft começou a aplicar a verificação de número nas notificações do Microsoft Authenticator para combater ataques de fadiga de multi-factor authentication (MFA).
Nesses ataques (também conhecidos como bombardeio de push ou spam de push MFA), os criminosos cibernéticos inundam os alvos com notificações de push móveis pedindo que eles aprovem tentativas de fazer login em suas contas corporativas usando credenciais roubadas.
Em muitos casos, os alvos cedem às solicitações maliciosas de push MFA repetidas, seja por engano ou para interromper o fluxo aparentemente interminável de alertas, permitindo que os atacantes façam login em suas contas.
Esse tipo de ataque de engenharia social já foi comprovado como muito bem-sucedido pelos atores de ameaças Lapsus$ e Yanluowang, que usaram esse método de ataque para invadir organizações de alto perfil, incluindo Microsoft, Cisco e Uber.
No entanto, como anunciado anteriormente, a Microsoft começará a aplicar a verificação de número para alertas MFA do Microsoft Authenticator para bloquear tentativas de ataques de fadiga MFA em todos os usuários a partir de 8 de maio de 2023.
"A verificação de número é uma atualização de segurança importante para notificações tradicionais de segundo fator no Microsoft Authenticator.
Vamos remover os controles do administrador e aplicar a experiência de correspondência de número em nível de locatário para todos os usuários de notificações de push do Microsoft Authenticator a partir de 8 de maio de 2023", diz a Microsoft.
"Os serviços relevantes começarão a implantar essas alterações após 8 de maio de 2023 e os usuários começarão a ver a correspondência de número em solicitações de aprovação.
À medida que os serviços são implantados, alguns podem ver a correspondência de número enquanto outros não." Para habilitar manualmente a correspondência de número antes que a Microsoft remova os controles do administrador, é necessário ir para Segurança > Métodos de autenticação > Microsoft Authenticator no portal Azure.
A partir daí, siga as seguintes etapas: você também pode habilitar a correspondência de número para todos os usuários ou um único grupo com a ajuda das APIs do Graph (informações detalhadas estão disponíveis aqui).
"Se o usuário tiver um método de autenticação padrão diferente, não haverá nenhuma alteração em seu login padrão", diz a Microsoft.
"Se o método padrão for o Microsoft Authenticator e o usuário estiver especificado em uma das seguintes políticas, eles começarão a receber a aprovação de correspondência de número após 8 de maio de 2023."
Aqueles que desejam adicionar uma linha de defesa adicional contra ataques de fadiga MFA também podem limitar o número de solicitações de autenticação MFA por usuário (Microsoft, DUO, Okta) e bloquear as contas ou alertar a equipe de segurança/administrador de domínio quando esses limites forem excedidos.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...