Investigadores de ciberseguridad han descubierto una técnica sofisticada para eludir la autenticación multifactor (MFA) resistente al phishing de Microsoft. Esta vulnerabilidad se aprovecha del flujo de autenticación del código de dispositivo y de los tokens de actualización primarios (PRT).
Este método permite a los atacantes registrar claves de Windows Hello para empresas, estableciendo así un acceso persistente no autorizado, incluso en entornos con políticas de MFA rigurosas.
La técnica fue desarrollada inicialmente para una competencia interna de tipo «Capture The Flag» (CTF) denominada «EntraIDiots». En este desafío, los participantes debían superar una barrera de acceso que solo permitía la autenticación mediante MFA resistente al phishing.
Los investigadores identificaron que era posible forzar la MFA durante el proceso de autenticación mediante la manipulación de los parámetros de la solicitud, independientemente de las políticas de seguridad implementadas.
«¡Después de una prueba rápida, nuestra suposición era correcta!» señalaron los investigadores, refiriéndose a su descubrimiento de que el parámetro “amr_values=ngcmfa” podría obligar a los usuarios a realizar MFA durante los flujos de autenticación.
El ataque aprovecha el phishing del código del dispositivo combinado con un enfoque de adversario en el medio (AiTM). Comienza cuando una víctima visita una página maliciosa que recupera la interfaz de inicio de sesión de Microsoft mediante una URL especialmente diseñada que contiene parámetros específicos:
- El ID de cliente del Agente de autenticación (29d9ed98-a469-4536-ade2-f981bc1d605e)
- Una URL de recurso que apunta al servicio de inscripción de Microsoft.
- El parámetro crítico “amr_values=ngcmfa” que obliga a MFA
- Un URI de redireccionamiento específico (ms-appx-web://Microsoft.AAD.BrokerPlugin)
Cuando los usuarios completan la autenticación (incluida MFA), los atacantes obtienen códigos de autorización que pueden intercambiarse por tokens de acceso y actualización. Con estos tokens, los atacantes pueden:
- Registrar un nuevo dispositivo en Entra ID
- Solicite un token de actualización principal para ese dispositivo
- Enriquece el PRT con el reclamo ngcmfa
- Registre una clave de Windows Hello para empresas
- Adquiera un nuevo PRT utilizando el dispositivo registrado y la clave WHFB
Este ataque es particularmente preocupante porque es difícil de detectar. «Desde la perspectiva del usuario, es bastante difícil detectar que se agregó una nueva clave WHFB», explicaron los investigadores. El método de autenticación comprometido no aparece en la página de la cuenta del usuario que enumera otros métodos de autenticación.
Detectar estas claves maliciosas es un desafío incluso para los administradores. El diseño de Microsoft impide que los administradores vean sus propios métodos de autenticación en Entra ID, lo que requiere que otro administrador verifique si hay actividad sospechosa.
Los investigadores describieron varias estrategias de prevención:
Aplicación de MFA resistente al phishing para todos los usuarios
- Implementación de la mitigación de AiTM para advertir a los usuarios y alertar a los administradores
- No permitir el registro del dispositivo en Entra ID
- Aplicar políticas de cumplimiento de dispositivos
- Bloquear o limitar el flujo de código del dispositivo
Sin embargo, la detección sigue siendo problemática. Debido a las limitaciones en las capacidades de registro de auditoría de Entra ID, el equipo de investigación encontró dificultades para correlacionar los inicios de sesión interactivos con la creación de dispositivos o el registro de claves WHFB.
Esta técnica se basa en trabajos anteriores del investigador de seguridad Dirk-jan Mollema, quien demostró ataques de phishing PRT similares en 2023. El avance actual se centra en forzar de manera confiable MFA durante la autenticación, lo que permite ejecutar la cadena de ataque completa contra entornos con políticas de seguridad estrictas.
A medida que las organizaciones dependen cada vez más de métodos de autenticación sin contraseña como Windows Hello, esta investigación destaca la importancia de un enfoque de defensa en profundidad en lugar de depender únicamente de MFA resistente al phishing.
