Risk ID
RISK-013
Risk Title
MFA bypass via legacy protocols and uncovered flows
Category (ISO 31000)
Operational
Risk Description
If phishing-resistant MFA (FIDO2/CBA) is not applied uniformly, endpoints that do not support MFA (e.g., POP/IMAP/SMTP, WS-Trust/legacy PowerShell, RDP/WinRM with local accounts, Basic Auth, app passwords) may allow authentication with password only. This creates a detour path for attackers who obtain administrative credentials through phishing or leaks.
Risk Type
Operational
Responsável
Not specified
Status
Open
Applicable Framework
Qriar IAM Security Framework
Ativo de Informação
Not specified
Fonte de Ameaça
atacante externo
Data de Revisão
Not specified
Evento de Ameaça
Explorar serviços/protocolos legados sem exigência de FIDO2/CBA para acessar privilégios administrativos
Inherent Risk
12345
Catastrófico 5 10 15 20 25
Maior 4 8 12 16 20
Moderado 3 6 9 12 15
Menor 2 4 6 8 10
Insignif. 1 2 3 4 5
Rare Unlikely Possible Likely Almost Certain
Residual Risk
12345
Catastrófico 5 10 15 20 25
Maior 4 8 12 16 20
Moderado 3 6 9 12 15
Menor 2 4 6 8 10
Insignif. 1 2 3 4 5
Rare Unlikely Possible Likely Almost Certain
Descrição do Cenário
Frequência de tentativas moderada e vulnerabilidade elevada em serviços legados aumenta a probabilidade de acesso privilegiado; perda potencial catastrófica devido a controle total do ambiente.
-
Frequência Mín.
-
Frequência Máx.
-
Magnitude Mín.
-
Magnitude Máx.
-
Expectativa de Perda Anual (BRL)
Resposta ao Risco
Modify
Response Status
Planned
Plano de Resposta
Not specified
Notas de Mitigação
Desabilitar autenticação legada e senhas de aplicativo; aplicar políticas de Acesso Condicional e 'authentication strengths' exigindo FIDO2/CBA em todos os endpoints; inventariar e testar serviços; bloquear Basic/WS-Trust, POP/IMAP; segmentar e monitorar acessos administrativos.
ID Risk Description Domínio
AUTH-001 Enforce Phishing-resistant MFA (FIDO2/CBA) for all administrative accounts, blocking SMS/voice. Authentication
No history recorded.
Inherent Score
15
Critical
Residual Score
15
Critical
Probability (1-5)
3/5 3/5
Impact (1-5)
5/5 5/5
Created on
16/02/2026 01:10
Atualizado em
26/02/2026 06:45