Microsoft a commencé à appliquer la correspondance des numéros dans les notifications push de Microsoft Authenticator pour repousser les attaques de fatigue de l’authentification multifacteur (MFA).
Dans de telles attaques (également appelées push bombing ou push spam MFA), les cybercriminels inondent les cibles de notifications push mobiles leur demandant d’approuver les tentatives de connexion à leurs comptes d’entreprise à l’aide d’informations d’identification volées.
Dans de nombreux cas, les cibles céderont aux demandes push MFA malveillantes répétées, soit par erreur, soit pour arrêter le flux apparemment sans fin d’alertes, permettant aux attaquants de se connecter à leurs comptes.
Ce type d’attaque d’ingénierie sociale s’est déjà avéré très efficace par les acteurs de la menace Lapsus$ et Yanluowang qui ont utilisé cette méthode d’attaque pour violer des organisations de premier plan, notamment Microsoft, Cisco et Uber.
Cependant, comme annoncé précédemment, Microsoft commencera à appliquer la correspondance des numéros pour les alertes MFA Microsoft Authenticator afin de bloquer les tentatives d’attaque par fatigue MFA parmi les locataires à partir d’aujourd’hui.
« La correspondance des numéros est une mise à niveau de sécurité clé des notifications traditionnelles de deuxième facteur dans Microsoft Authenticator. Nous supprimerons les contrôles d’administration et appliquerons l’expérience de correspondance des numéros à l’échelle du locataire pour tous les utilisateurs des notifications push de Microsoft Authenticator à partir du 8 mai 2023 », a déclaré Microsoft.
« Les services concernés commenceront à déployer ces modifications après le 8 mai 2023 et les utilisateurs commenceront à voir des correspondances de numéros dans les demandes d’approbation. Au fur et à mesure du déploiement des services, certains peuvent voir des correspondances de numéros, d’autres non. »
Pour activer manuellement la correspondance des numéros avant que Microsoft ne supprime les contrôles d’administration, vous devez accéder à Sécurité > Méthodes d’authentification > Microsoft Authenticator dans le portail Azure.
À partir de là, suivez les étapes suivantes :
- Dans l’onglet Activer et cibler, cliquez sur Oui et sur Tous les utilisateurs pour activer la stratégie pour tout le monde ou ajouter les utilisateurs et groupes sélectionnés. Définissez le mode d’authentification pour ces utilisateurs/groupes sur Any ou Push.
- Dans l’onglet Configurer, pour Exiger la correspondance des numéros pour les notifications push, définissez État sur Activé, choisissez qui inclure ou exclure de la correspondance des numéros, puis cliquez sur Enregistrer.
Vous pouvez également activer la correspondance des numéros pour tous les utilisateurs ou un seul groupe à l’aide des API Graph (des informations détaillées sont disponibles ici).
« Si l’utilisateur a une méthode d’authentification par défaut différente, il n’y aura aucun changement dans sa connexion par défaut », déclare Microsoft.
« Si la méthode par défaut est Microsoft Authenticator et que l’utilisateur est spécifié dans l’une des politiques suivantes, il commencera à recevoir l’approbation de correspondance de numéro après le 8 mai 2023. »
Ceux qui souhaitent ajouter une ligne de défense supplémentaire contre les attaques de fatigue MFA peuvent également limiter le nombre de demandes d’authentification MFA par utilisateur (Microsoft, DUO, Okta) et verrouiller les comptes ou alerter l’équipe de sécurité/l’administrateur du domaine lorsque ces seuils sont dépassés.