Evitar "MFA Fatigue attack" en Azure AD

 

Hola, 

Estamos asistiendo a un aumento de ataques MFA Fatigue, el cual como ya sabréis, se basa en ingeniería social, mandando al usuario una gran cantidad de validaciones MFA hasta que este, aceptar por error una de ellas. 

Evidentemente para poder realizar este ataque, hay que conseguir la contraseña del usuario y para evitar esto, lo mejor es activar Passwordless en todos los accesos que solicitan validación al usuario. Sobre esto hablaré en otro post.

Respecto a la parte más directa de este ataque, he recopilado una serie de opciones que existen en Azure AD y que evitarán el ataque a usuarios en nuestro tenant. Las opciones que indico a continuación, existen en practicamente todos los directors cloud, como puede ser Ping Identity, Okta, Gsuite, etc. y por tanto son igualmente aplicables.

Bastionado de tenant resistente a MFA Fatigue

Protección ante inicios de sesión en riesgo

La primera opción y para mí fundamental es configurar la proteeción ante riesgos en el login. Para esto es necesario Azure AD P1, pero creo que a día de hoy, vale la pena contar con esta licencia.

Protección del inicio de sesión de usuario basada en el riesgo en Azure Active Directory - Microsoft Entra | Microsoft Learn

Bloqueo de cuenta tras X intentos 

Por otra parte, lo esencial en cualquier tenant, sería configurar el bloqueo de cuenta tras un número de denegaciones por parte del usuario y situar este umbral bastante bajo. no más de 3-5 solicitudes denegadas del usuario. Cabe destacar que viene sin configurar, lo cual me parece un fallo por parte de Microsoft.

Esto lo tenéis en Azure Active Directory -> Seguridad -> Autenticación multifactor -> Bloqueo de cuenta.

Alertas de fraude

Otra opción efectiva es la de ofrecer en el aviso a los usuarios la posibilidad de denunciar un fraude y posterior bloqueo de la cuenta durante unos minutos.

MFA coincidencia de números

Una de las opciones más efectiva, es la coincidencia de números e información de localización que está actualmente en Preview para MFA, pero que en el caso de la primera, llevamos disfrutando desde hace mucho tiempo lo usuarios con paswordless.

Estas opciones de push avanzado de MFA están soportadas tanto en escenario cloud, como en escenario híbrido con complemento NPS y validación ADFS.

Para activar estas opciones, tenemos que ir a Azure Active Directory -> Seguridad -> Métodos de autenticación -> Microsoft authenticator -> Configurar -> Requerir coincidencia de números y Mostrar la ubicación geográfica en notificaciones Push.

Esto propiciará que en el MFA aparezca la siguiente información. Obligando al usuario a introducir un número aparecido en pantalla a quien propicie la llamada al MFA.

Evidentemente, como digo siempre, todo esto hay que combinarlo con control de acceso mediante equipos corporativos y delimitación de la posibilidad de realizar login en nuestras aplicaciones asociadas a Azure AD, desde localizaciones y/o países válidos para nuestra empresa.

También es importante no tener asignados roles y hacer uso de PIM.

Saludos.