One Article Review
| Source |  AlienVault Lab Blog |
|---|---|
| Identifiant | 8412811 |
| Date de publication | 2023-11-16 11:00:00 (vue: 2023-11-16 11:08:33) |
| Titre | Histoires du SOC: étapes proactives pour protéger les clients contre le MFA mal configuré Stories from the SOC: Proactive steps to protect customers from misconfigured MFA |
| Texte | Résumé de l'exécutif
Authentification multifactrice, ou MFA, offre aux utilisateurs une couche de sécurité ajoutée lors de la connexion aux applications Web.Dépassant son prédécesseur, l'authentification à deux facteurs, en 2023, le MFA est une option standard pour une autre couche de sécurité pour les comptes en ligne..
En mai 2022, la cybersécurité et l'ampli;Infrastructure Security Agency (CISA) a publié le conseil en sécurité aa22-074a & nbsp; décrire comment les configurations par défaut dans les applications MFA sont considérées comme une vulnérabilité.La tactique a été utilisée par les cyber-acteurs parrainés par l'État russe dès mai 2021 dans un compromis réussi d'une organisation américaine.
Sur la base de ces directives de la CISA, les AT & amp; T cybersecurity a géré la détection gérée par la cybersecurity.et réponse (MDR) Centre d'opérations de sécurité (SOC) a analysé de manière proactive dans notre flotte de clients et a découvert un client qui utilisait la configuration par défaut, qui peut être exploitée.Les analystes de SOC ont contacté le client pour l'informer du risque et ont fourni des recommandations sur la façon de sécuriser leur réseau.
Investigation
Recherche d'événements
Les analystes ont utilisé l'outil open-source, Elastic Stack, pour rechercher nos clients pour & ldquo; défaillance, & rdquo; qui est la configuration par défaut dans les applications MFA qui rend possible un accès non autorisé.
 & nbsp; & nbsp;
Événement Deep-Dive
La recherche a révélé un client avec son ensemble de candidatures MFA sur Rectendopen = 1, qui est le paramètre qui permet à un acteur malveillant de contourner l'authentification lorsqu'il est exploité.Le & ldquo; défaillance & rdquo;Le paramètre permet une tentative incorrecte de connexion, ce qui permettrait alors un accès sans entrave à un compte avec ce paramètre sur le réseau client.
Revue pour des indicateurs supplémentaires
De là, les analystes SOC ont pivoté pour rechercher l'environnement client pour toutes les informations qui identifieraient les actifs et les comptes des clients associés et qui indiqueraient une activité malveillante extérieure.Ils ont découvert que l'utilisateur responsable était répertorié comme administrateur dans l'environnement client.
Réponse
Construire l'enquête
Les analystes ont ouvert une enquête pour traiter la mauvaise configuration de l'application mobile MFA ainsi que pour confirmer si l'activité associée à l'utilisateur identifié a été autorisée.L'enquête comprenait une explication de la vulnérabilité ainsi qu'un résumé de l'activité de l'utilisateur impliqué sur les actifs identifiés au cours des 30 derniers jours.
Interaction client
Les analystes ont créé une enquête à faible sévérité, ce qui, dans ce cas, signifiait qu'ils n'étaient pas tenus de contacter le client.(Nos clients MDR déterminent quand et comment le SOC communique avec eux.)
Cependant, pour s'assurer que le problème a été résolu en temps opportun, les analystes ont également informé le groupe Hu |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | “failopen “the ”which 074a describing 2021 2022 2023 aa22 about access account accounts across activity actor actors added additional address addressed administrator advisory agency allows also analysts another any application applications are assets assigned associated at&t attempt authentication authorized based building but bypass can case center cisa communicates compromise configuration configurations confirm connection considered contact contacted created customer customer’s customers cyber cybersecurity days deep default detection determine did discovered dive early elastic ensure environment event events executive explanation exploited factor failopen fleet force from group guidance how however hunter identified identify illustrates included incorrect indicate indicators inform information infrastructure interaction investigation involved issue its last layer listed logging low makes malicious managed manner may mdr meant mfa misconfiguration misconfigured mobile multifactor network not notified online only open opened operations option organization outwardly over permit pivoted possible predecessor proactive proactively protect provided provides published reactive recommendations relating required response responsible revealed reviewed reviewing risk russian scanned search searching secure security set setting severity soc soc: source sponsored stack standard state steps stories successful summary surpassing tactic them then threat timely tool two ultimately unauthorized uncover unfettered used user user’s users using utilized vulnerability web well when whether which within works would |
| Tags | Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.