Microsoft จะเริ่มบังคับใช้ฟังก์ชัน number matching ใน Microsoft Authenticator เพื่อป้องกันการโจมตีแบบ multi-factor authentication (MFA) fatigue attacks
ในการโจมตีดังกล่าว ซึ่งถูกเรียกอีกแบบว่า Push Bombing หรือ MFA push spam ผู้โจมตีจะหลอกเหยื่อด้วยการทำให้เกิดการแจ้งเตือนแบบ push notifications เพื่อให้ผู้ใช้งานอนุมัติการเข้าสู่ระบบบัญชีขององค์กรจำนวนมาก โดยใช้ข้อมูล credentials ที่ขโมยมา
ทำให้ส่วนใหญ่แล้วเหยื่อมักจะกดยอมรับ push notifications MFA ทั้งโดยไม่ได้ตั้งใจ หรือเพื่อหยุดการแจ้งเตือนที่เกิดขึ้นโดยไม่ทันได้สังเกต ซึ่งจะทำให้ผู้โจมตีสามารถเข้าสู่ระบบได้ ซึ่งพิสูจน์แล้วว่าประสบความสำเร็จเป็นอย่างมาก
โดยกลุ่ม Lapsus$ และ Yanluowang ซึ่งใช้วิธีการโจมตีนี้เพื่อเจาะระบบองค์กรที่มีชื่อเสียง เช่น Microsoft , Cisco และ Uber ได้สำเร็จ
ปัจจุบัน Microsoft ระบุว่าจะเริ่มบังคับใช้ฟังก์ชัน number matching สำหรับการแจ้งเตือน MFA ของ Microsoft Authenticator เพื่อบล็อกความพยายามโจมตี MFA ในรูปแบบดังกล่าวตั้งแต่วันที่ 8 พฤษภาคม 2023 เป็นต้นไป โดยบริการที่เกี่ยวข้องจะเริ่มใช้ฟังก์ชันนี้ ภายหลังจากวันที่ 8 พฤษภาคม 2023 ซึ่งผู้ใช้งานจะเริ่มเห็นหมายเลขที่ต้องระบุให้ตรงกันสำหรับการเข้าสู่ระบบ
หากต้องการเปิดใช้งาน number matching ด้วยตนเอง สามารถไปตั้งค่าได้ที่ Security > Authentication methods > Microsoft Authenticator ใน Azure portal
ทำตามขั้นตอนต่อไปนี้:
- ใน Tab Enable and Target คลิก Yes และ All users เพื่อเปิดใช้งาน policy สำหรับทุกคน หรือเพิ่มผู้ใช้ และกลุ่มที่เลือก จากนั้นตั้งค่า Authentication mode เป็น Any หรือ Push
- กำหนดค่า Require number matching for push notifications เปลี่ยน Status เป็น Enabled เลือกกลุ่มที่จะ include หรือ exclude และคลิก Save
ผู้ใช้งานสามารถเปิดใช้งาน number matching สำหรับผู้ใช้ทั้งหมด หรือกลุ่มเดียวได้
หากผู้ใช้งานมีวิธีการตรวจสอบสิทธิ์ในรูปแบบอื่น ๆ จะไม่มีการเปลี่ยนแปลงใด ๆ ในการลงชื่อเข้าใช้
ผู้ใช้งานที่ต้องการเพิ่มการป้องกันเพิ่มเติมจากการโจมตี MFA fatigue attacks สามารถจำกัดจำนวนการพยายามเข้าสู่ระบบผ่าน MFA ต่อผู้ใช้งาน (Microsoft, DUO, Okta) และล็อคบัญชี หรือส่งการแจ้งเตือนไปยังทีม Security หรือผู้ดูแลระบบโดเมนเมื่อมีการพยายามเข้าสู่ระบบที่เกินกว่าที่กำหนดไว้
ที่มา : bleepingcomputer
You must be logged in to post a comment.