Negli ultimi anni, il rafforzamento della sicurezza digitale attraverso sistemi di autenticazione a due fattori (2FA) è stato uno dei principali baluardi per prevenire accessi non autorizzati ai nostri account, soprattutto quelli aziendali come Microsoft 365.

Tuttavia, come accade spesso nel mondo della cyber security, ogni nuova difesa attira l’attenzione di chi cerca modi per aggirarla. È il caso del nuovo servizio di bypass “Mamba”, recentemente scoperto, che ha preso di mira direttamente gli account Microsoft 365, utilizzando tecniche che compromettono il 2FA per scopi malevoli.

Cosa sappiamo del servizio di bypass Mamba

Mamba si presenta come un servizio venduto nei forum underground e la sua offerta è particolarmente allettante per i criminali informatici. Esso permette di aggirare il sistema di autenticazione a due fattori di Microsoft 365, offrendo così la possibilità di accedere ai conti aziendali anche senza possedere le credenziali secondarie, normalmente richieste per verificare l’identità dell’utente.

Il servizio sembra essere stato sviluppato con l’intento di sfruttare vulnerabilità latenti nel processo di autenticazione utilizzato da Microsoft 365. Nello specifico, pare che Mamba sfrutti una serie di tecniche sofisticate che combinano phishing avanzato e strumenti automatizzati per bypassare le difese dell’utente.

Questo rappresenta una minaccia significativa, dato che la protezione offerta dal 2FA è uno degli strumenti più raccomandati dagli esperti di sicurezza informatica per proteggere account sensibili, specialmente in ambito aziendale.

Come funziona il bypass?

I dettagli tecnici completi non sono stati interamente divulgati, ma la modalità operativa del servizio Mamba si basa su attacchi mirati.

Utilizzando phishing avanzato, gli attaccanti possono inviare e-mail o messaggi che sembrano autentici, inducendo le vittime a inserire le loro credenziali di accesso, incluso il codice di autenticazione a due fattori.

Una volta ottenute queste informazioni, Mamba sfrutta il suo sistema automatizzato per inviare le credenziali al server di Microsoft 365, evitando la necessità di ulteriori verifiche.

Questo metodo di attacco è particolarmente subdolo, perché permette ai criminali di ottenere accesso immediato all’account bersaglio, eludendo quello che fino ad oggi è stato considerato uno dei metodi di sicurezza più solidi.

La possibilità che un criminale informatico acceda a un account aziendale senza che l’utente si accorga di nulla è estremamente preoccupante, soprattutto se consideriamo la quantità di informazioni sensibili custodite all’interno di Microsoft 365, che include e-mail aziendali, documenti e dati condivisi.

Le vulnerabilità sfruttate da Mamba

Sebbene le specifiche vulnerabilità utilizzate da Mamba non siano state divulgate, è probabile che il servizio sfrutti debolezze nella gestione delle sessioni o nel modo in cui Microsoft 365 gestisce i token di autenticazione. Questo potrebbe includere falle nella modalità di verifica dei codici 2FA o nella gestione delle sessioni di accesso già avviate.

Un altro possibile vettore di attacco è la sincronizzazione delle sessioni su dispositivi multipli. Se l’utente ha già effettuato il login su un dispositivo, può essere possibile per un attaccante sincronizzare quella sessione su un altro dispositivo, evitando così l’autenticazione a due fattori aggiuntiva.

Tali tecniche di attacco non sono nuove, ma l’automazione e la semplicità d’uso offerta da Mamba lo rendono estremamente pericoloso. Non è necessario un livello di competenza tecnica avanzata per utilizzare questo servizio, il che significa che anche criminali informatici meno esperti potrebbero sfruttarlo.

Chi c’è dietro Mamba?

Al momento, non è chiaro chi siano gli sviluppatori del servizio Mamba, ma è evidente che si tratta di un gruppo ben organizzato e con competenze avanzate nel campo della sicurezza informatica.

La vendita di tali strumenti nei mercati underground è purtroppo una pratica comune e può portare enormi guadagni, data la crescente richiesta di metodi per aggirare le difese di sicurezza avanzate come il 2FA.

Gli utenti di questo servizio potrebbero includere sia criminali informatici indipendenti che gruppi più strutturati, come ransomware gang o organizzazioni dedite al furto di dati aziendali.

Implicazioni per le aziende

La compromissione degli account Microsoft 365 è un serio rischio per le aziende, soprattutto quelle che operano con grandi volumi di dati o che gestiscono informazioni riservate. La facilità con cui questo servizio di bypass può essere utilizzato per accedere agli account aziendali senza permesso sottolinea la necessità di rivedere le attuali misure di sicurezza adottate.

Il successo di servizi come Mamba dipende dalla combinazione di ingegneria sociale e vulnerabilità tecniche. Le aziende devono, quindi, non solo implementare sistemi tecnologici avanzati, ma anche formare i propri dipendenti a riconoscere le minacce di phishing e a non cadere vittima di tali attacchi.

In un’epoca in cui i cyber criminali evolvono costantemente le loro tattiche, l’uso del 2FA non dovrebbe essere considerato l’unica linea di difesa. L’adozione di strategie di sicurezza multilivello, come il monitoraggio attivo degli accessi, il controllo delle attività sospette e l’uso di soluzioni di autenticazione adattiva, può aiutare a mitigare i rischi.

Le contromisure da adottare

La scoperta di Mamba sottolinea la necessità di un approccio più ampio alla sicurezza digitale. Le aziende devono prendere in considerazione diversi fattori:

1. Educazione dei dipendenti: gli attacchi di phishing avanzati sono una delle principali armi utilizzate per ottenere le credenziali iniziali. Le aziende dovrebbero investire in programmi di formazione per aiutare i propri dipendenti a riconoscere e segnalare tentativi di phishing.
2. Autenticazione adattiva: integrare sistemi di autenticazione che tengano conto del comportamento dell’utente, come geolocalizzazione e pattern di accesso, per bloccare accessi sospetti anche se le credenziali corrette sono inserite.
3. Monitoraggio delle attività: un controllo costante delle attività dell’account può aiutare a individuare comportamenti anomali, come accessi da località insolite o tentativi di login ripetuti.
4. Soluzioni di protezione avanzata: l’utilizzo di strumenti come SIEM (Security Information and Event Management) per tracciare in tempo reale le attività legate agli account Microsoft 365 può aiutare a individuare e mitigare le minacce in modo più tempestivo.

Non basta affidarsi esclusivamente alla 2FA

La comparsa del servizio Mamba è un ulteriore esempio di come il crimine informatico continui a evolversi e a trovare nuove modalità per aggirare anche le difese più avanzate.

Le aziende devono prendere atto di questa realtà e non affidarsi esclusivamente al 2FA come misura di sicurezza.

Investire in tecnologie più avanzate, migliorare la formazione dei dipendenti e monitorare costantemente le proprie infrastrutture IT sono passi fondamentali per ridurre il rischio di accessi non autorizzati e garantire una protezione efficace contro attacchi sempre più sofisticati.