Steeds meer organisaties gebruiken multifactor-authenticatie (MFA) om hun systemen te beveiligen. Maar nu zien we dat aanvallers geavanceerdere technieken gebruiken om toegang te krijgen tot bedrijfsbronnen zonder MFA te hoeven omzeilen. Het Microsoft Detection and Response Team (DART) heeft gemerkt dat aanvallers steeds vaker tokendiefstal gebruiken om dit te doen.
Ze stelen dan een token dat al eerder is gebruikt om MFA te voltooien en gebruiken dit opnieuw om toegang te krijgen tot bedrijfsbronnen. Dit is zorgwekkend omdat het relatief gemakkelijk is om een token te stelen en het moeilijk te detecteren is. Weinig organisaties hebben maatregelen getroffen om tokendiefstal te voorkomen, wat een probleem kan zijn voor de verdediging tegen deze tactiek.
In de nieuwe wereld van hybride werken hebben mensen vaak toegang tot bedrijfsbronnen via hun persoonlijke of onbeheerde apparaten, wat het risico op tokendiefstal vergroot. Onbeheerde apparaten hebben vaak zwakkere beveiligingscontroles dan apparaten die door organisaties worden beheerd. Bovendien kunnen gebruikers op deze apparaten tegelijkertijd ingelogd zijn bij zowel persoonlijke als bedrijfsapplicaties, wat aanvallers in staat stelt om tokens van beide te stelen.
Aanvallers hebben al open source-tools ontwikkeld om tokendiefstal te plegen en malware ontworpen om deze techniek te gebruiken. Het detecteren van tokendiefstal kan lastig zijn zonder de juiste beveiliging en zichtbaarheid in authenticatie-eindpunten. Het Microsoft Detection and Response Team (DART) helpt verdedigers om deze tactiek te beperken totdat permanente oplossingen beschikbaar zijn.