- Credenciais roubadas geram acesso inicial em mais de 80% das violações corporativas (Verizon DBIR). Os ataques do adversário no meio ampliaram essa lacuna, e não a estreitaram.
- Os ataques de proxy AiTM retransmitem suas credenciais e o desafio MFA para o serviço de login real, capturam o token de sessão e retornam um login normal bem-sucedido. TOTP e notificações push não oferecem proteção.
- As chaves de acesso FIDO2 e as chaves de segurança de hardware interrompem os ataques AiTM porque o desafio criptográfico está vinculado ao URL de origem exato. Um domínio de phishing enfrenta um desafio diferente e não pode assinar nada.
- Os ataques pass-the-cookie reproduzem tokens de sessão roubados sem a necessidade de credenciais. As políticas de vida útil do token, a conformidade do dispositivo de acesso condicional e o CAE são os principais controlos.
- Os ataques de fadiga do MFA enviam notificações push em rápida sucessão até que um usuário aprove uma para fazê-los parar. A correspondência de números evita isso: o usuário deve digitar um número mostrado na tela de login, portanto, o toque automático não faz nada.
- A defesa de credenciais requer MFA resistente a phishing em contas privilegiadas, acesso condicional com conformidade de dispositivos, vida útil curta de tokens e alertas sobre viagens impossíveis e logins de dispositivos vistos pela primeira vez.
As credenciais são o principal vetor de violação
Os relatórios de violações empresariais durante a década de 2010 centraram-se em malware: grupos de ransomware, implantes em estados-nação, explorações de dia zero. Desde então, os invasores passaram a roubar credenciais. É mais barato, mais rápido e mais difícil de detectar. Um login de conta legítimo por meio de um provedor de identidade autorizado parece um login normal para a maioria dos sistemas de monitoramento.
O Verizon DBIR coloca credenciais roubadas em mais de 80% das violações relacionadas a hackers. A oferta é enorme: o HaveIBeenPwned indexa mais de 13 bilhões de contas violadas de centenas de violações históricas. As ferramentas de preenchimento testam isso em escala com otimização de solicitações e rotação de IP para evitar limitação de taxa.
O MFA interrompe o preenchimento de credenciais e a maioria dos ataques automatizados. Os atacantes se adaptaram. Um subconjunto agora tem como alvo a sessão de autenticação em vez das credenciais, e TOTP ou notificações push não oferecem proteção contra esses ataques.
Seis métodos de bypass
Os ataques de credenciais diferem de acordo com o que visam e como são bem-sucedidos. Um controle que interrompe o preenchimento de credenciais não pode fazer nada contra o roubo de token de sessão.
O que cada tipo de MFA realmente interrompe
A escolha do fator MFA determina a superfície de ataque. SMS OTP e notificações push interrompem o preenchimento de credenciais. Nenhum dos dois impede um ataque AiTM em tempo real. Saber onde termina a proteção de cada fator informa qual atualizar primeiro.
* FIDO2 interrompe o AiTM na autenticação, mas não protege os tokens de sessão após um login legítimo. A conformidade do dispositivo e o CAE são necessários para a segurança da sessão pós-autenticação.
O que torna o FIDO2 diferente
Códigos TOTP, aprovações push e mensagens SMS compartilham uma propriedade: podem ser encaminhados. O usuário completa o desafio e o proxy o retransmite. A sessão é aberta. O proxy pega o cookie.
FIDO2 funciona de maneira diferente. A chave privada fica no dispositivo e nunca sai dele. O navegador assina um desafio que inclui o URL de origem solicitante. Um domínio de phishing em login-microsoft-365.com recebe um desafio carimbado com esse domínio. O navegador compara-o com a origem registrada, login.microsoft.com, e se recusa a assinar. O proxy não recebe nada para encaminhar.
O NIST SP 800-63B classifica o FIDO2 como resistente a phishing exatamente por esse motivo. Tanto o CISA quanto o NCSC o recomendam para contas de alto valor.
Um usuário que recebe solicitações push repetidas pode aprovar uma apenas para interromper o ruído. Os dados do Microsoft mostram que a correspondência de números reduz as taxas de aprovação durante o push bombing em mais de 99%. Se você usar push MFA, habilitá-lo é uma alteração de configuração gratuita que remove quase todos os ataques de fadiga MFA bem-sucedidos.
Defesa contra ataques na camada de sessão
O roubo de token de sessão ocorre após a autenticação. Os controles importantes aqui atuam no tempo de vida do token e na vinculação do dispositivo, e não no login em si.
Políticas de vida útil do token
Os tokens de acesso de longa duração dão ao invasor tempo para usar uma sessão roubada. As políticas de vida útil do token de ID Entra reduzem essa janela para aplicativos confidenciais, mas sessões mais curtas significam reautenticação mais frequente. A Avaliação de Acesso Contínuo (CAE) resolve ambos para aplicativos suportados: ela revoga tokens quase em tempo real quando o Entra ID detecta um evento de risco, como uma entrada de viagem impossível ou um comprometimento relatado.
Vinculação de dispositivos por meio de acesso condicional
O Acesso Condicional com conformidade do dispositivo verifica se o dispositivo de origem da sessão está inscrito e gerido. Um invasor que reproduz um token roubado de uma máquina não gerenciada falha na verificação de conformidade e é bloqueado. Os tokens roubados param de funcionar em aplicativos que aplicam esta política.
Monitoramento de anomalias de token
Alertas de viagens impossíveis captam logins de locais fisicamente incompatíveis. Um usuário que se autenticou em Amsterdã às 09h00 também não pode fazer login de Moscou às 09h15. O Entra ID Identity Protection e o Microsoft Sentinel revelam essas detecções. Conecte-os a respostas automatizadas: revogação de sessão, reautenticação forçada ou um alerta para a equipe de segurança.
Comece com contas privilegiadas
O MFA resistente a phishing oferece seu maior valor nas contas que possuem mais acesso. Contas administrativas, contas de serviços elevados, equipe financeira e membros do conselho representam uma pequena fração dos seus usuários, mas são responsáveis pela maior parte dos danos que um ataque de credenciais bem-sucedido pode causar.
A implementação do FIDO2 em uma grande organização leva tempo: distribuição de dispositivos, treinamento de usuários, implementação de políticas. As 20 contas mais importantes podem ser atendidas em dias. Comece com políticas de acesso condicional que exigem autenticação resistente a phishing para acesso a funções privilegiadas e PIM para evitar que funções administrativas permaneçam permanentemente ativas.
Contas de administrador protegidas por TOTP são o alvo do prêmio nas campanhas AiTM. A credencial, o código MFA e o token de sessão fluem através do mesmo proxy. O FIDO2 quebra essa cadeia: a chave nunca sai do dispositivo, a assinatura nunca corresponde a um domínio de phishing.
Sete controles para implementar agora
- Habilite a correspondência de números em todos os push MFA: uma configuração de autenticador gratuita que impede o push bombing.
- Bloqueie protocolos de autenticação legados: SMTP AUTH, POP3, IMAP e clientes Office mais antigos ignoram o MFA e são o caminho de preenchimento de credenciais mais comum.
- Aplique MFA resistente a phishing para contas privilegiadas: As políticas de força de autenticação de acesso condicional podem exigir FIDO2 para funções administrativas hoje.
- Habilite a proteção de identidade do ID de entrada: pontuação de risco em tempo real para logins, detecção de vazamento de credenciais via HIBP e políticas de resposta automatizadas.
- Configurar avaliação de acesso contínuo: ele revoga tokens Microsoft 365 quase em tempo real quando o Entra ID detecta um evento de risco.
- Restringir o consentimento do aplicativo OAuth: defina políticas de consentimento para todo o locatário no Entra ID para impedir que os usuários aprovem aplicativos de terceiros não verificados.
- Monitore viagens impossíveis e logins em novos dispositivos: configure regras de alerta para que padrões de sessão anômalos acionem notificação imediata ou revogação automática.