Flexible Security for Your Peace of Mind

MFA Prompt Bombing: Wie funktioniert das und welche Möglichkeiten gibt es, es zu verhindern?

Anmeldedaten sind ein gefundenes Fressen für Angreifer. Schwache oder kompromittierte Anmeldedaten sind ein beliebtes Einfallstor für Angreifer, die sich in ein Netzwerk einloggen wollen. Die meisten Unternehmen haben erkannt, dass für den Zugriff auf geschäftskritische Ressourcen eine Multi-Faktor-Authentifizierung (MFA) erforderlich sein sollte. Infolgedessen sind Angreifer gezwungen, “MFA Prompt Bombing” als effektiven Gegenangriff gegen diesen zusätzlichen Sicherheitsfaktor einzusetzen.

Was ist MFA Prompt Bombing?

Hacker wissen, dass MFA ein erhebliches Hindernis für die Kompromittierung eines Benutzerkontos darstellt. Ohne MFA kann eine einfache Phishing-E-Mail ausreichen, um Anmeldedaten zu stehlen und von dort aus einen Angriff zu starten. Die Anmeldedaten allein reichen bei aktivierter MFA nicht aus, da eine erfolgreiche Authentifizierung nur möglich ist, wenn der Mitarbeiter weitere Handlungen durchführt. Dazu gehört in der Regel eine Aktion auf einem separaten Gerät, auf das nur der Mitarbeiter Zugriff hat: das Akzeptieren einer Push-Benachrichtigung auf einem anderen Telefon, die Eingabe eines zeitkritischen Codes von einer Authentifizierungs-App oder die Verwendung einer biometrischen Authentifizierung.

Bei einem MFA-Bombing-Angriff senden Cyberkriminelle eine Flut von MFA-Aufforderungen an das mobile Gerät des Opfers, um es zu überreizen, zu frustrieren, zu ärger, um es letztendlich zur Authentifizierung des Anmeldeversuchs zu bewegen. Wenn jemand Hunderte von Nachrichten hintereinander erhält, bestätigt er diese möglicherweise nur, um die Flut an lästigen Benachrichtigungen zu stoppen, weshalb dieser Angriff manchmal als “MFA-Fatique-Angriff” bezeichnet wird. Auf den ersten Blick mag das Bombardieren von MFA-Eingabeaufforderungen wie eine recht simple Angriffsmethode erscheinen, aber oft sind einfache Taktiken, die das menschliche Verhalten ausnutzen, am effektivsten. Wie das folgende Beispiel zeigt, haben MFA-Fatigue-Angriffe leider schon den ein oder anderen prominenten Erfolg vorzuweisen.

Specops Authentication
Machen Sie Passwörter wieder zu einem sicheren Faktor! Mit Specops Password Policy schützen Sie Ihre Benutzerkonten vor kompromittierten und schwachen Kennwörtern.

2022 Uber-Hack

Letztes Jahr kam es bei Uber zu einer schwerwiegenden Sicherheitslücke, nachdem es Angreifern gelungen war, das Konto eines Dienstleisters zu kompromittieren. Das Unternehmen geht davon aus, dass der Angreifer in der Lage war, die Anmeldedaten des Dienstleisters im Dark Web zu erwerben, nachdem diese bei einem früheren Datenverlust offengelegt worden waren. Laut Uber bombardierte der Angreifer, der mit der bekannten Cybercrime-Gruppe Lapsus$ verbunden ist, den Dienstleister mit MFA-Push-Benachrichtigungen, bis er eine der Anfragen akzeptierte. Dies zeigt, wie einfach ein MFA-Fatigue-Angriff sein kann, wenn Zugangsdaten bereits kompromittiert wurden.

Wie kann man sich vor MFA Prompt Bombing schützen?

MFA ist nicht unangreifbar – keine einzelne Sicherheitsebene ist es. Dennoch ist es besser als keinen weiteren Faktor zur Authentifizierung zu nutzen. Also werfen wir einen Blick auf einige Möglichkeiten, wie sich Unternehmen gegen MFA Prompt Bombing schützen können:

  • Implementierung effektiverer Passwortrichtlinien
  • Risikobasierte Authentifizierung

Risikobasierte Authentifizierung

Risikobasierte Authentifizierungsmechanismen sind eine Möglichkeit, MFA zu unterstützen und das Risiko von MFA Prompt Bombing und MFA Fatigue-Angriffen zu verringern. Bei der risikobasierten Authentifizierung untersuchen Anwendungen die in der Anmeldeanforderung enthaltenen Signale, um festzustellen, ob es Anomalien gibt. Anomalien können Merkmale der Anmeldesitzung sein, wie z. B. der geografische Standort der Anfrage, die Tageszeit oder die Anzahl der Anmeldeversuche von verschiedenen Standorten aus. Das Identitäts- und Zugriffsmanagementsystem kann dann den Benutzer zur weiteren Überprüfung benachrichtigen oder das Konto ganz deaktivieren.

Microsofts Richtlinien für bedingten Zugriff in Azure Active Directory sind ein gutes Beispiel für risikobasierte Authentifizierung. Richtlinien für den bedingten Zugriff verwenden risikobasierte Signale, um festzustellen, ob Anmeldeanfragen böswillig sind, und können dann bestimmte Aktionen durchführen. Dazu gehört, dass Benutzer gezwungen werden, ihr Kennwort zu ändern oder das Konto zu sperren, bis ein Administrator manuelle Schritte zur Reaktivierung durchführt.

Die risikobasierte Authentifizierung bietet zwar die Möglichkeit, böswillige Anmeldeanfragen zu identifizieren und zu beheben, erfordert jedoch eine Integration mit Azure Active Directory oder einem anderen Dienst, der Zugriff auf die risikobasierte Authentifizierung bietet.

Effektivere Kennwortrichtlinien

Wenn ein Angreifer MFA-Anfragen für den Benutzer auslösen kann, bedeutet dies, dass das Passwort bereits kompromittiert wurde. Angreifer haben möglicherweise erfolgreich Benutzerpasswörter mit Bruteforce erzwungen oder sogar Passwörter aus entschlüsselten Passwortlisten erhalten.

Die Einführung sicherer Passwortrichtlinien hilft den Benutzern, starke Passwörter oder Passphrasen zu erstellen, die noch nicht bekannt oder kompromittiert sind. Das Problem vieler Unternehmen, die herkömmliche lokale Active Directory-Domain-Services-Umgebungen verwenden, besteht darin, dass sie nicht über die erforderlichen Tools verfügen, um wirksame moderne Kennwortrichtlinien zu erstellen und sich gegen kompromittierte Kennwörter und andere risikoreiche Kennworttypen zu schützen.

Es bietet nur grundlegende Einstellungen für Kennwortrichtlinien, mit denen Unternehmen Kennwortrichtlinien für Benutzer in ihrer Umgebung erstellen können. Wie Sie beispielsweise unten sehen können, sind die Steuerelemente in Active Directory (sogar ab Windows Server 2022) minimal:

Einstellungsmöglichkeiten zu Passwortrichtlinien in Windows Server 2022

Die Standardeinstellungen für Kennwortrichtlinien schützen Organisationen nicht vor den folgenden Gefahren:

  • Inkrementelle Kennwörter
  • Kontextbasierte Kennwörter
  • Wiederverwendete Kennwörter
  • Mehrere Benutzer mit demselben Kennwort
  • Kompromittierte Kennwörter

Da Angreifer oft leicht Passwörter erraten oder entschlüsseln können, die den aktuellen Einstellungen der Passwortrichtlinien entsprechen, die in den typischen Gruppenrichtlinien vieler Unternehmen definiert sind, ist dies oft der erste Schritt zum MFA Prompt Bombing.

Stoppen Sie mit Specops Password Policy MFA Prompt Bombing im Ansatz

Der beste Weg, diese Angriffe zu stoppen, besteht darin, die Kompromittierung von Passwörtern von vornherein zu verhindern. Specops Password Policy ermöglicht es Unternehmen, die Qualität, Stärke und Einmaligkeit von Passwörtern, die in der gesamten Benutzerbasis eines Unternehmens verwendet werden, deutlich zu verbessern. So werden Angriffe mit gestohlenen Anmeldedaten im Keim erstickt und Unternehmen vor möglichen MFA-Bombing geschützt.

So einfach benachrichtigen Sie Ihre Benutzer, falls ein kompromittiertes Kennwort gefunden wurde.

Schützen Sie Ihre Mitarbeiter bei MFA-Bombing-Angriffen mit Specops uReset

Wie bereits zur genüge erwähnt, ist das Passwort eines Benutzerkontos bereits kompromittiert, sobald ein Angreifer in der Lage ist, einen MFA-Bombing-Angriff durchzuführen. Daher sollte der logische Schluss aus einem MFA-Bombing-Angriff sein, dass die betroffenen Benutzer ihr Passwort sofort zurücksetzen.

Leider gibt es nicht in jedem Unternehmen eine einfache Möglichkeit für Benutzer, ihre Passwörter zurückzusetzen, was bedeutet, dass viele die Notwendigkeit der Passwortänderung ignorieren oder den Helpdesk anrufen. Dies gilt insbesondere für die Arbeit an remote oder Hybrid Arbeitsplätzen.

Specops uReset kann die Häufigkeit der Helpdesk-Anrufe erheblich reduzieren, indem es Optionen zum Zurücksetzen von Passwörtern für Remote- und In-Office-Benutzer bietet. Durch MFA, die über Duo Security, Okta, PingID und eine biometrische Option angeboten wird, können Benutzer ihr Passwort auch dann zurücksetzen, wenn einer der Authentifizierungsfaktoren nicht verfügbar ist (z. B. wenn der Benutzer kein Mobiltelefon hat). Mit uReset kann all dies ohne die Hilfe eines Helpdesk-Mitarbeiters geschehen. Die Benutzer können ihr Passwort jederzeit und von jedem Ort aus selbst zurücksetzen.

MFA Prompt Bombing funktioniert am besten, wenn eine zweite Authentifizierung nur über eine einzige Push-Benachrichtigung an ein mobiles Gerät erfolgen kann. Dies ist technisch gesehen eine Zwei-Faktor-Authentifizierung (2FA), da eine “echte MFA” mindestens einen weiteren Faktor erfordern würde. uReset bietet die Integration mit mehr als 15 Identitätsanbietern, einschließlich Optionen wie Yubikey-Hardware-Tokens oder OTP-Apps, die keine Push-Benachrichtigungen senden. Testen Sie Specops uReset kostenlos.

Was ist MFA Prompt Bombing?

MFA-Prompt-Bombing ist das wiederholte Versenden von MFA-Prompts durch Angreifer, die einen Benutzer dazu bringen wollen, versehentlich oder unwissentlich eine der Prompts zuzulassen. Es ist nur eine falscher Klick des Benutzers erforderlich, um Angreifern den Zugriff auf ein kompromittiertes Konto zu ermöglichen. Diese neue Angriffsmethode ermöglicht es Angreifern, die zusätzliche Sicherheitsebene der MFA-Authentifizierung zu umgehen.

Was ist die Multi-Faktor-Authentifizierung?

Bei der Multi-Faktor-Authentifizierung (MFA) muss ein Benutzer bei der Anmeldung mehrere “Faktoren” angeben, um seine Identität zu bestätigen. So wird beispielsweise häufig ein Kennwort mit einer OTP-App (One-Time-Passcode) oder einer Textnachricht auf dem Smartphone kombiniert, um die Identität zu bestätigen, was als Zwei-Faktor-Authentifizierung (2FA) bezeichnet wird.

Wie können sich Unternehmen vor MFA-Bombardements schützen?

Gute Sicherheitsvorkehrungen und Richtlinien sind wichtig. Unternehmen können auch Lösungen wie die risikobasierte Authentifizierung implementieren, bei der anhand von Sicherheitssignalen festgestellt wird, ob eine Anmeldeanfrage eines Benutzers bösartig oder legitim ist. Darüber hinaus wird es bei starken und nicht-kompromittierten Kennwörtern für einen Angreifer viel schwieriger, den ersten Faktor (das Passwort) zu umgehen, um einen MFA-Angriff zu starten.

(Zuletzt aktualisiert am 22/06/2023)

Zurück zum Blog