# T1621 - Multi-Factor Authentication Request Generation > [!danger] Técnica de Alto Impacto > MFA Fatigue é uma das técnicas de bypass de autenticação mais eficazes em uso atualmente, responsável por comprometimentos de alto perfil em grandes organizações globais. Adversários como [[g0016-apt29|APT29]], [[g1015-scattered-spider|Scattered Spider]] e [[g1004-lapsus|LAPSUS$]] a utilizam com frequência crescente. ## Descrição Adversários com credenciais válidas de uma conta-alvo, mas sem acesso ao segundo fator de autenticação (2FA/MFA), podem tentar contornar o MFA abusando da própria infraestrutura de notificação dos provedores de autenticação. A técnica é conhecida popularmente como **MFA Fatigue**, **MFA Bombing** ou **MFA Push Spam**. O mecanismo é simples e engenhoso: quando um adversário inicia o processo de login com credenciais corretas, o sistema de MFA envia automaticamente uma notificação push para o dispositivo registrado do usuário legítimo - sejá por aplicativos como Microsoft Authenticator, Duo Mobile, Okta Verify ou similares. O adversário repete esse processo dezenas ou centenas de vezes, gerando um bombardeio de notificações push, mensagens SMS ou chamadas telefônicas automáticas para o alvo. A hipótese de ataque é comportamental e psicológica: depois de receber notificações suficientes - especialmente durante horários inconvenientes como madrugada ou períodos de trabalho intenso - o usuário acaba aprovando uma das solicitações para "parar o barulho", sem perceber que está concedendo acesso a um adversário. Esta técnica também pode ser aplicada em cenários de **Self-Service Password Reset (SSPR)**: quando habilitado, o SSPR pode gerar automaticamente notificações push mesmo sem credenciais válidas, bastando que o adversário forneça apenas o identificador da conta (e-mail ou nome de usuário). Isso reduz ainda mais a barreira de entrada para o ataque. A técnica usa como alvo direto o elo humano na cadeia de segurança - um usuário legítimo que, sob pressão, fadiga ou confusão, comete o erro de aprovação. É um ataque de engenharia social mediado por tecnologia, não uma exploração técnica de vulnerabilidade. > [!info] Diferença de MFA Bypass Técnico > T1621 não explora falhas no protocolo MFA - ele explora o comportamento humano. Diferente de técnicas como SIM Swapping ou interceptação de OTP, aqui o adversário usa a infraestrutura legítima do provedor de MFA como vetor. ## Como Funciona **Pré-requisitos do adversário:** - Credenciais válidas da conta-alvo (usuário + senha) - obtidas por [[t1078-valid-accounts|Valid Accounts]], phishing ([[t1566-phishing|Phishing]]), credential stuffing ou compra em mercados underground - Identificador de conta (e-mail, UPN) para cenários SSPR sem senha - Conexão à internet para iniciar tentativas de login **Fases do ataque:** **1. Validação das Credenciais** O adversário verifica que as credenciais são válidas iniciando o processo de login até o ponto em que o MFA é solicitado. Isso confirma que a senha não expirou e a conta está ativa. **2. Geração em Massa de Requisições MFA** Usando scripts automatizados, ferramentas como `msspray`, `trevorspray`, `o365spray` ou simplesmente scripts Python com chamadas à API de autenticação, o adversário inicia dezenas a centenas de tentativas de login sequenciais, cada uma gerando uma nova notificação push no dispositivo do usuário. **3. Abordagem de Engenharia Social Complementar (opcional)** Em variantes mais sofisticadas, o adversário contata a vítima por telefone ou e-mail se passando por suporte técnico interno, alegando que há "problemas de sistema" e pedindo que o usuário "confirme uma notificação pendente" para resolver. [[g1015-scattered-spider|Scattered Spider]] é conhecido por essa abordagem combinada. **4. Captura do Acesso** Quando o usuário aprova uma das notificações - por fadiga, confusão ou engana social -, o adversário obtém o token de sessão autenticado e acesso completo à conta, com todos os privilégios associados. **5. Persistência Pós-Acesso** Após o acesso inicial, o adversário frequentemente registra um novo dispositivo MFA ou método de autenticação para garantir acesso futuro independente, mesmo que a senha sejá redefinida. **Variantes por plataforma:** - **Microsoft 365 / Entra ID:** Notificações via Microsoft Authenticator (push) ou ligações de voz - **Okta:** Push via Okta Verify ou SMS - **Duo:** Push via Duo Mobile, SMS ou ligação automática - **Google Workspace:** Push via Google Prompts ou SMS ## Attack Flow ```mermaid graph TB A[Obtenção de Credenciais<br/>Phishing / Credential Stuffing / Valid Accounts] --> B[Verificação<br/>Credenciais válidas confirmadas<br/>MFA ativo na conta] B --> C[Automação<br/>Script de Login em Loop<br/>Geração Massiva de Requests MFA] C --> D{Vetor de Entrega MFA} D --> E[Push Notification<br/>Microsoft Authenticator<br/>Duo / Okta Verify] D --> F[SMS<br/>Código numérico enviado<br/>ao número registrado] D --> G[Chamada de Voz<br/>Ligação automática com<br/>instrução de aprovação] E --> H[Bombardeio de Notificações<br/>Fadiga do Usuário] F --> H G --> H H --> I{Engenharia Social?} I -->|Sim| J[Contato Direto ao Usuário<br/>Suporte Técnico Falso<br/>Scattered Spider / LAPSUS$] I -->|Não| K[Espera pela Aprovação Involuntária<br/>APT29 - abordagem silenciosa] J --> L[Usuário Aprova a Notificação] K --> L L --> M[Acesso Autenticado Obtido<br/>Token de Sessão Válido] M --> N[Registro de Novo Dispositivo MFA<br/>Persistência Garantida] N --> O[Movimento Lateral<br/>Exfiltração / Ransomware] ``` ## Exemplos de Uso ### APT29 - Ataques a Organizações Governamentais e NATO [[g0016-apt29|APT29]] (Cozy Bear), o grupo de espionagem cibernética associado ao SVR russo, utilizou MFA Fatigue em campanhas documentadas contra agências governamentais europeias e organizações relacionadas à OTAN. Em relatórios públicados pela CISA e pelo NCSC britânico, o grupo foi observado iniciando loops de login automatizados durante madrugadas locais - maximizando a probabilidade de que usuários, ao acordar com múltiplas notificações, aprovassem uma por distração ou urgência percebida. O APT29 combina esta técnica com o uso de [[t1550-003-pass-the-cookie|Pass the Cookie]] após obter o token inicial, garantindo persistência sem necessidade de nova aprovação MFA. ### LAPSUS$ - Comprometimentos de Grandes Empresas de Tecnologia [[g1004-lapsus|LAPSUS$]] tornou-se infame em 2022 por comprometer empresas como Microsoft, Okta, NVIDIA, Samsung e Ubisoft. O grupo utilizou MFA Fatigue de forma agressiva e deliberada, frequentemente comúnicando abertamente em seus canais do Telegram que haviam "bombardeado" funcionários com notificações até obter aprovação. Em um caso amplamente documentado, o grupo obteve acesso a sistemas da Okta via conta de engenheiro de suporte, após gerar dezenas de notificações push que o funcionário eventualmente aprovou. O incidente revelou que a Okta não tinha limites de taxa configurados nas solicitações MFA, permitindo que o ataque acontecesse sem alertas. ### Scattered Spider - Ataques ao Setor de Hospitalidade [[g1015-scattered-spider|Scattered Spider]] combinou MFA Fatigue com vishing (engenharia social por voz) para comprometer funcionários da MGM Resorts, Caesars Entertainment e outras empresas. O modus operandi típico envolve: (1) compra de credenciais em fóruns underground, (2) identificação de funcionários com acesso privilegiado via LinkedIn, (3) geração de push notifications MFA, (4) ligação telefônica se passando por suporte técnico pedindo "confirmar a notificação de segurança que acabamos de enviar". > [!example] Indicadores de Comprometimento Típicos > - Múltiplas tentativas de login bem-sucedidas com credenciais corretas + MFA negado em curto período > - Login bem-sucedido após série de tentativas MFA negadas, especialmente entre 00h-06h horário local > - Registro de novo dispositivo MFA logo após autenticação inicial > - Acesso de IP geolocalizado diferente do padrão histórico do usuário ## Detecção A detecção de MFA Fatigue requer monitoramento de padrões comportamentais anômalos nos logs de autenticação. Logs individuais de tentativas MFA negadas são normais; é o padrão - frequência, horário e sequência - que revela o ataque. **Fontes de log prioritárias:** - **Microsoft Entra ID Sign-in Logs:** eventos `MFA denied by user`, `MFA timed out`, `MFA completed` em sequência para o mesmo usuário/IP - **Okta System Log:** eventos `user.authentication.auth_via_mfa` com resultado `FAILURE` seguido de `SUCCESS` - **Duo Auth Logs:** `result=DENY` repetidos seguidos de `result=ALLOW` para mesma conta - **Azure AD Identity Protection:** sinal de risco `Anomalous Token` e `Impossible Travel` ```yaml title: MFA Fatigue - Múltiplas Negações Seguidas de Aprovação status: experimental logsource: product: azure service: signinlogs detection: selection_denied: ResultType: "50074" AuthenticationRequirement: "multiFactorAuthentication" selection_approved: ResultType: "0" AuthenticationRequirement: "multiFactorAuthentication" timeframe: 1h condition: | selection_denied | count() by UserPrincipalName >= 5 followed by selection_approved by UserPrincipalName falsepositives: - Usuário com problemas de conectividade reiniciando sessão repetidamente - Testes de autenticação por equipe de segurança level: high tags: - attack.credential_access - attack.t1621 ``` **Regras de detecção adicionais:** - Alerta para 5+ notificações MFA negadas pelo mesmo usuário em 1 hora - Alerta para aprovação MFA entre 22h-06h horário local do usuário - Alerta para aprovação MFA de IP em país diferente do padrão dos últimos 30 dias - Correlação: registro de novo dispositivo MFA dentro de 15 minutos após aprovação anômala - Integração com Microsoft Entra ID Protection para sinal de risco de "MFA Fatigue" ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Substituir MFA baseado em push por métodos resistentes a phishing e fatigue: **FIDO2/Passkeys** (YubiKey, Windows Hello), **Certificaté-based Authentication** ou **Number Matching** (o usuário deve digitar um código exibido na tela de login para aprovar - impede aprovação acidental). Desabilitar SMS e ligação de voz como fatores MFA quando possível. | | M1036 | [[m1036-account-use-policies\|M1036 - Account Use Policies]] | Implementar limites de taxa (raté limiting) nas tentativas de autenticação MFA. Configurar bloqueio temporário de conta após N tentativas MFA negadas em período definido. Restringir SSPR a usuários verificados por fluxo adicional. Habilitar Microsoft Entra ID Protection ou equivalente para bloquear automaticamente logins de risco elevado. | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para NUNCA aprovar notificações MFA que não foram explicitamente iniciadas por eles. Estabelecer protocolo: em caso de notificações inesperadas, negar e reportar imediatamente à equipe de segurança. Simulações de MFA Fatigue devem ser incluídas em programas de phishing simulado. | **Controles técnicos adicionais:** - **Number Matching:** habilitar no Microsoft Authenticator e Duo para exigir que o usuário confirme um código numérico - elimina aprovações acidentais - **Contexto adicional:** configurar notificações que exibam localização e dispositivo da tentativa de login para alertar o usuário - **Conditional Access + Named Locations:** bloquear logins de países/IPs não esperados mesmo com MFA aprovado - **SSPR com verificações adicionais:** exigir verificação de identidade por canal secundário antes de gerar push SSPR ## Contexto Brasil/LATAM O MFA Fatigue tornou-se uma das técnicas mais relevantes para o Brasil e América Latina em virtude da rápida adoção corporativa do Microsoft 365 e de plataformas SaaS sem implementação adequada de controles de autenticação robustos. **Panorama regional:** - O setor financeiro brasileiro, altamente regulamentado pelo BACEN, adota MFA de forma ampla - mas frequentemente ainda baseado em SMS, que é susceptível a SIM Swapping (prática comum no Brasil com auxílio de insiders de operadoras) - Grupos de ransomware que atacam o Brasil - incluindo afiliados de LockBit, BlackCat e RansomHub - utilizam acesso inicial via credenciais comprometidas + bypass de MFA com frequência crescente - O mercado brasileiro de segurança registrou aumento expressivo de ataques a ambientes Microsoft 365 em 2024, com MFA Fatigue figurando entre as principais técnicas de acesso inicial relatadas por MSSPs nacionais - Empresas de telecomúnicações latino-americanas, como Claro, Movistar e TIM, são alvos de interesse para grupos que exploram acesso a sistemas de gerenciamento de identidade corporativa **Grupos com atividade observada na América Latina:** - [[g1015-scattered-spider|Scattered Spider]] - telecomúnicações - [[g1004-lapsus|LAPSUS$]] - origem parcialmente LATAM (membros identificados no Brasil e Reino Unido) - Grupos de ransomware RaaS operando na região com acesso via MFA Fatigue documentado pelo CERT.br **Recomendações específicas para o contexto brasileiro:** - Priorizar migração para FIDO2/Passkeys, especialmente para contas privilegiadas e executivos - Implementar Number Matching no Microsoft Authenticator (gratuito para todos os tenants M365) - Incluir MFA Fatigue em simulações de phishing anuais exigidas pelo BACEN para IFs - Monitorar atividade de autenticação fora do horário comercial brasileiro (UTC-3) com alertas automáticos **Conformidade regulatória:** - [[2018]] - exige autenticação robusta para acesso a sistemas financeiros em nuvem - [[lgpd|LGPD]] - incidentes de comprometimento de contas por MFA Fatigue que resultem em acesso a dados pessoais devem ser notificados à ANPD em até 72 horas ## Referências - [MITRE ATT&CK - T1621](https://attack.mitre.org/techniques/T1621) - [CISA - Implementing Phishing-Resistant MFA](https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf) - [Microsoft - Number Matching in MFA notifications](https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-mfa-number-match) - [CISA AA23-320A - Scattered Spider](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a) - [NCSC UK - LAPSUS$ TTPs](https://www.ncsc.gov.uk/blog-post/lapsus-recent-techniques-tactics-and-procedures) - [Microsoft DART - MFA Fatigue Attacks](https://www.microsoft.com/en-us/security/blog/2022/09/20/mfa-fatigue-attacks/) - [Okta - Security Incident Jánuary 2022](https://www.okta.com/blog/2022/03/oktas-investigation-of-the-jánuary-2022-compromise/) --- *Fonte: [MITRE ATT&CK - T1621](https://attack.mitre.org/techniques/T1621) | Versão MITRE: 16.2*