Skip to main content

Attacchi avanzati a ADFS: come gli hacker aggirano l'MFA e come difendersi

L'autenticazione multi-fattore (MFA) è considerata uno dei metodi più efficaci per proteggere gli account aziendali, ma nessun sistema è invulnerabile. Una recente ondata di attacchi informatici ha dimostrato come una configurazione errata di Active Directory Federation Services (ADFS) possa permettere agli hacker di bypassare l'MFA e ottenere accesso non autorizzato ai sistemi aziendali. In questo articolo vedremo nel dettaglio il funzionamento dell'attacco e le migliori strategie per prevenirlo.

ADFS e la gestione delle identità: una soluzione potente ma delicata

Active Directory Federation Services (ADFS) è una tecnologia Microsoft che consente il Single Sign-On (SSO), facilitando l'autenticazione su più applicazioni e servizi tramite protocolli come SAML e OAuth. Grazie a questa funzionalità, le aziende semplificano la gestione delle identità, ma una configurazione errata può aprire la porta a rischi di sicurezza seri.

Il problema: la vulnerabilità che permette di aggirare l'MFA

Gli attaccanti sfruttano una falla nella gestione del secondo fattore di autenticazione in ADFS, riuscendo a utilizzare un codice MFA valido di un altro utente per autenticarsi con le credenziali della vittima.

Come avviene l'attacco:

  1. Compromissione delle credenziali: gli hacker raccolgono credenziali aziendali tramite phishing, attacchi di credential stuffing o malware keylogger.

  2. Preparazione del colpo: vengono compromessi due account:

    • Utente A: la vittima primaria.

    • Utente B: un dipendente la cui autenticazione MFA è stata già violata.

  3. Accesso fraudolento: l'attaccante avvia due sessioni di login:

    • Una con le credenziali dell'Utente A.

    • L'altra con il codice MFA dell'Utente B.

  4. Bypass dell'MFA: se ADFS non verifica in modo rigoroso l'associazione tra il secondo fattore e l'utente principale, l'attaccante riesce ad accedere al sistema.

Questa tecnica sfrutta una configurazione errata che non verifica con sufficiente precisione l'associazione tra credenziali e secondo fattore.

Le tecniche di phishing più sofisticate

Gli hacker utilizzano metodi avanzati per ottenere le credenziali necessarie:

  • Email di phishing personalizzate: messaggi che sembrano autentici e provengono da fonti aziendali affidabili.

  • Portali di login falsificati: pagine web che imitano il sistema ADFS aziendale per catturare credenziali.

  • Attacchi Man-in-the-Middle (MitM): strumenti come Evilginx che intercettano la comunicazione tra utente e server per rubare token di accesso.

Difendersi dall'attacco: le migliori strategie di mitigazione

Contrastare questa minaccia richiede un approccio articolato che combini aggiornamenti, monitoraggio e formazione del personale.

1. Correggere le configurazioni di ADFS

  • Assicurarsi che MFA sia sempre associato all'utente che sta effettuando il login.

  • Implementare controlli di sessione per rilevare anomalie nelle autenticazioni.

2. Passare a soluzioni MFA più avanzate

  • Adottare tecnologie FIDO2/WebAuthn che eliminano la dipendenza da OTP e SMS.

  • Evitare l'uso di MFA basato su email o SMS, che possono essere intercettati.

3. Formazione e consapevolezza degli utenti

  • Educare i dipendenti a riconoscere tentativi di phishing avanzati.

  • Condurre simulazioni periodiche di attacchi di phishing per testare la loro reazione.

4. Monitoraggio costante e analisi delle anomalie

  • Utilizzare strumenti SIEM per identificare schemi di autenticazione anomali.

  • Configurare notifiche per accessi simultanei da località geografiche sospette.

5. Adottare il modello Zero Trust

  • Implementare il concetto di Zero Trust, che verifica continuamente identità e comportamenti degli utenti anche dopo l'autenticazione.

  • Sfruttare soluzioni di accesso adattivo basate sul rischio per bloccare tentativi sospetti.

La sicurezza è un processo continuo

Questa vulnerabilità dimostra come anche i sistemi di sicurezza avanzati possano essere aggirati se non configurati correttamente. Tuttavia, adottando soluzioni di MFA robuste, configurando correttamente ADFS e applicando strategie di sicurezza Zero Trust, le aziende possono ridurre significativamente il rischio di intrusioni. In un panorama informatico in continua evoluzione, la sicurezza informatica non è mai statica: aggiornarsi e migliorare continuamente le difese è l'unico modo per restare un passo avanti rispetto agli attaccanti.

Blog

A cura dello Staff di Comunicazione

Altre Notizie Pertinenti

Active Directory (AD) è un se…...

Mitigare il Kerberoasting

Dopo il lavoro preparatorio d…...

Innovazione e Sicurezza per il CNPAPAL