Обнаружение обхода 2FA в Rohos Logon Key 4.8

/в , , /от

Мы рады анонсировать Rohos Logon Key 4.8 с автоматическим контролем «сценариев обхода двухфакторной аутентификации». Новая экспериментальная функция позволяет мгновенно получать push-уведомление на смартфон, когда процедура 2FA была исключена во время входа/разблокировки или повторного подключения к консоли или удаленного сеанса. Уже хорошо известны системные уязвимости, которые позволяют перехватить сеанс RDP, безконечные истории с эксплойтами нулевого дня в протоколе RDP или системе аутентификации, «забытые»инструменты удаленного доступа, такие как TeamViewer или кража учетных данных 2FA во время фишинга или при помощи социальной инженерии — все это приводит к непредсказуемой угрозе и рискам.

Rohos Logon применяет экспериментальные инновации для решения этих проблем. В настоящее время приложение Rohos Logon Key использует три простых правила для запуска push-уведомлений в случае обхода 2FA. Это позволяет немедленно реагировать и смягчить последствия в случае появления неизвестных уязвимостей процедур аутентификации.

Этот экспериментальный подход хорошо работает для автономных терминальных серверов, ферм AD, облачных серверов в AWS или Azure, рабочих станций или персональных ноутбуков. 

В будущем мы планируем добавить больше правил и ответных действий, которые позволят снизить уязвимости аутентификации системы Windows, Rohos или из-за человеческого фактора. Rohos Logon Key — единственное в мире приложение с двухфакторной аутентификацией, которое предлагает самоконтролируемую обратную связь как для простого окна входа в систему, так и для удаленного входа на рабочий стол сеанса RDP.  Узнайте больше о том, как это работает.

Что нового в Rohos Logon Key 4.8:

  • Экспериментальный контроль «обхода двухфакторной аутентификации»;
  • Минорные улучшения.

2FA bypass control — как это работает

Когда эта опция включена, Rohos Logon использует три правила для обнаружения обхода процедуры 2FA во время любого входа в систему, разблокировки или повторного подключения, в консоли или удаленном рабочем столе:

  1. Для любого входа пользователя, выполняемого без использования учетных данных 2FA, с использованием элемента управления Rohos Logon Key (например, формы входа в Rohos);
  2. Для учетной записи пользователя, для которой настроен метод или устройство 2FA, но вход в систему выполняется без использования учетных данных 2FA с помощью элемента управления Rohos Logon Key.
  3. Для любой учетной записи пользователя, в которой сеанс разблокирован или начат заново без использования элемента управления Rohos Logon Key (захват сеанса или отключение Rohos по какой-либо причине)

Правила постоянно проверяются дополнительным независимым модулем путем проверки всех сеансов рабочего стола (включая сеансы удаленного рабочего стола). Когда одно из правил выполняется, приложение Rohos вызывает API push URL, и вы немедленно получаете push-уведомление на смартфон с информацией о времени, имени сервера, IP-адресе и имени учетной записи пользователя.

Как настроить уведомление об обходе 2FA

Скачать последнюю верчию Rohos Logon Key v.4.8 (15-дневный пробный период) >>

  • Установите и обновите существующий Rohos Logon (минорное обновление бесплатно). После настройки метода / устройств двухфакторной аутентификации необходимо отметить опцию “Control 2FA bypass… “
  • Нажмите «More…» и введите URL-адрес вашего push-токена. В настоящее время Rohos Logon поддерживает службу push-уведомлений Pushover.

    Для этого вам необходимо зарегистрироваться в сервисе Pushover и установить приложение Pushover на свой смартфон Android / iOS. Затем вы берете URL-адрес службы push-уведомлений с панели управления и вводите его в поле Rohos.
    URL-адрес должен выглядеть как в следующем примере:
    https://api.pushover.net/1/messages.json?token=a1wjrzbuxfgcmhvqbqhfuhxjkft18n&user=*************&device=YourSmartphoneName&title=TS-Server01+Alert&sound=noneгде значение «user» берется из панели управления. «device» — это имя вашего смартфона, на котором установлено приложение Pushover для вашей учетной записи. Услуга бесплатна до 10000 уведомлений в месяц. Значение «token» представляет приложение RohosLogon Key, но вы также можете создать собственное приложение на панели управления и заменить токен.
  • Чтобы проверить правило № 2, вам необходимо войти в учетную запись пользователя, защищенную устройством 2FA, с помощью аварийного входа.
  • Для проверки правила №1 вам необходимо изменить значение «USB_Key_bypass_control» на «7» (в HKEY_LOCAL_MACHINE \ SOFTWARE \ WOW6432Node \ Rohos), а затем войти в ЛЮБУЮ учетную запись пользователя, используя только пароль Windows.
  • Чтобы протестировать правило № 3, вам необходимо войти в учетную запись пользователя, защищенную устройством 2FA, а затем через 5 минут подключиться к сеансу с помощью TeamViewer, AnyDesk или другого приложения.

Действие в ответ на обход 2FA

Вместо уведомления можно разрешить Rohos немедленно заблокировать сеанс пользователя в случае сценария обхода 2FA. Чтобы настроить это — введите значение «2» в поле «2FA bypass notification».

О программе Rohos Logon Key

Rohos Logon Key добавляет надежный контроль входа в Windows при помощи двухфакторной аутентификации. Rohos позволяет реализовать многофакторную аутентификацию, где вы можете комбинировать различные устройства аутентификации: пароль, PIN-код, смартфон или устройства строгой аутентификации, такие как ключ U2F, YubiKey, одноразовые пароли Google Authenticator, токены SafeNet iKey или RFID-карты. С помощью Rohos вы можете защитить автономные компьютеры, рабочие станции Active Directory или терминальные серверы, которые работают через RDP или другие решения для удаленного доступа, такие как TeamViewer или AnyDesk.

Загрузить последнюю версию Rohos Logon Key v.4.8 (15-пробный период) >>

Заказать Rohos Logon Key>

Посмотреть полный список совместимых устройств для входа в Windows>