ue, 26 May 2026
← VoltarOs invasores contornam a MFA baseada em push, enganando os usuários para que aprovem solicitações de login fraudulentas.
A autenticação multifator (MFA) deveria preencher uma lacuna crítica na segurança da identidade. Isso significava que, mesmo que um invasor possuísse as credenciais da conta, ele não conseguiria fazer login sem o segundo fator. Embora essa lógica fosse correta, os invasores agora descobriram que não precisam roubar o segundo fator: eles só precisam que o usuário o entregue. Se sua força de trabalho for autenticada com MFA baseado em push, esse ataque será uma ameaça real para sua organização hoje.
Ferramentas como o Specops Secure Access são criadas especificamente para preencher essa lacuna, mas antes de começar a consertar, vale a pena entender como essa técnica funciona. O ataque requer três elementos principais para funcionar: Os invasores acionam repetidamente o prompt, tentando enganar o alvo ou desgastá-lo para aprovar a solicitação. Às vezes, os invasores combinam o bombardeio imediato com uma chamada vishing fingindo ser da TI, onde tentarão projetar socialmente o alvo. O perigo é que esses métodos só precisem funcionar uma vez.
Se o prompt for aprovado, o invasor estará conectado como esse usuário. Os sistemas de segurança normalmente não serão alertados, pois o login parece totalmente legítimo. A violação da Cisco em 2022 é um exemplo importante de quão eficaz essa técnica é até mesmo contra programas de segurança maduros. Um invasor ligado ao grupo de ransomware Yanluowang comprometeu a conta pessoal do Google de um funcionário da Cisco, que estava sincronizando credenciais armazenadas no navegador, incluindo a senha da Cisco VPN do funcionário.
A partir daí, o invasor enviou avisos de MFA para o telefone do funcionário. Isso inicialmente não funcionou, então eles começaram a usar ligações vishing se passando por organizações de suporte confiáveis, falando em vários sotaques e, eventualmente, convencendo o funcionário a aceitar uma notificação push. Uma vez aceito, o invasor tinha acesso VPN como funcionário. Eles então inscreveram seus próprios dispositivos para MFA para manter a persistência, escalaram para privilégios administrativos, acessaram servidores Citrix e controladores de domínio e exfiltraram cerca de 2,8 GB de dados antes de serem despejados.
O facto de o bombardeamento imediato ter funcionado contra uma empresa como a Cisco, que está longe de ter uma postura de segurança fraca, realça o quão perigoso e eficaz o ataque se tornou. O problema com a MFA baseada em push é que os usuários são solicitados a aprovar ou negar um login com muito pouco para fazer. Não há uma indicação clara de onde a solicitação foi originada, qual dispositivo está sendo usado ou se a tentativa de login foi iniciada pelo usuário. Isoladamente, isso pode ser administrável.
Mas quando os avisos começam a chegar repetidamente, é fácil presumir que algo está errado, em vez de reconhecê-lo como um ataque em potencial. Se isso for combinado com um telefonema oportuno de alguém se passando por suporte de TI, a situação se torna ainda mais difícil de avaliar. Nesse ponto, o usuário não está agindo de forma descuidada, mas respondendo a um cenário projetado para parecer rotineiro e legítimo, usando credenciais que o invasor já possui. Notificações push são a forma comum mais fraca de MFA.
Fatores resistentes ao phishing, como chaves de segurança FIDO2, tokens de hardware como YubiKey ou códigos de correspondência de números de aplicativos autenticadores, são mais difíceis de abusar. O Specops Secure Access oferece suporte a mais de 15 provedores de identidade e inclui essas opções resistentes à fadiga para logon do Windows, RDP e conexões VPN, para que as organizações possam aposentar o MFA somente push para pontos de acesso de alto risco. O bombardeio imediato só é possível quando o invasor já possui uma senha válida. A varredura contínua do Active Directory (AD) em um banco de dados ativo de senhas violadas e a força de uma redefinição quando uma correspondência aparece remove o combustível para o ataque.
Depender de políticas de senha padrão do AD não detectará senhas reutilizadas, incrementais ou violadas. Se você não sabe onde está hoje, o Specops Password Auditor é uma verificação gratuita e somente leitura do seu AD que sinaliza vulnerabilidades como senhas comprometidas ou contas de administrador inativas. Políticas de acesso condicional que levam em consideração a localização geográfica, a postura do dispositivo e os tempos de login podem bloquear ou intensificar a autenticação n antes que um prompt seja enviado ao telefone do usuário. Isso reduz a dependência apenas do comportamento do usuário e introduz contexto em tempo real para impedir logins suspeitos antes que eles se transformem em comprometimento bem-sucedido da conta.
O bombardeamento imediato do MFA não é uma razão para se afastar do MFA, mas realça onde alguns factores são insuficientes. Quando as solicitações de aprovação podem ser acionadas repetidamente sem contexto significativo, o controle se torna mais fácil de influenciar do que o pretendido. Se push ainda for seu segundo fator padrão, vale a pena rever essa decisão. Os métodos de correspondência de números ou resistentes a phishing fortalecem o próprio método MFA, enquanto a verificação de senhas comprometidas limita o risco de invasores possuírem a primeira etapa de autenticação.
Se você deseja evoluir a segurança de sua identidade com um MFA mais robusto, fale com Specops. Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.