Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Neun Methoden, wie Angreifer MFA umgehen
…und warum starke Passwörter daher weiterhin wichtig sind
Die Nutzung der Multi-Faktor-Authentifizierung (MFA) wird weithin als eine der wichtigsten Maßnahmen angesehen, um unbefugten Zugriff zu verhindern und steht in vielen Best-Practice-Empfehlungen und Compliance-Frameworks ganz oben auf der Liste der Sicherheitskonfigurationen, die zum Schutz vor Kompromittierungen erforderlich sind. MFA kann eine entscheidende Rolle bei der Verhinderung von Angriffen spielen, da Passwörter allein oft leicht von Hackern überwunden werden können. Dennoch sollte man sich nicht blind darauf verlassen, denn MFA ist nicht unfehlbar, und ein schwaches oder kompromittiertes Passwort bleibt in den meisten Fällen eines infizierten Kontos der entscheidender Faktor.
Unternehmen müssen sich darüber im Klaren sein, dass MFA kein Allheilmittel für schwache Passwortsicherheit ist, denn auch sie kann überwunden werden. In diesem Beitrag werden wir neun Möglichkeiten aufzeigen, wie MFA manipuliert werden kann, und warum sich Unternehmen der Tatsache bewusst sein müssen, dass MFA in erster Linie einen zusätzlichen Schutz für das Passwort darstellt.
Wie Multi-Faktor-Authentifizierung ausgehebelt werden kann
1. MFA-Anfragen-Bombardierung
Moderne Authentifizierungs-Apps bieten unter anderem eine Push-Benachrichtigung, die den Benutzer auffordert, die Anmeldeanforderung zu akzeptieren oder zu verweigern. Obwohl dies für den Endbenutzer sehr komfortabel ist, können Angreifer dies auch zu ihrem Vorteil nutzen. Haben sie bereits ein Passwort kompromittiert, können sie versuchen, sich anzumelden und eine MFA-Aufforderung an das Gerät des legitimen Benutzers zu senden. Sie hoffen dann, dass der Benutzer entweder denkt, dass es sich um eine legitime Aufforderung handelt und sie akzeptiert oder dass er von den ständigen Aufforderungen genervt ist und diese irgendwann akzeptiert, um seine Telefonbenachrichtigungen zu stoppen. Dies wird als MFA-Prompt-Bombing oder MFA Fatique-Attack bezeichnet – hier erfahren Sie mehr darüber, wie Sie sich dagegen schützen können.
Bedrohungsinformationen von Outpost24’s KrakenLabs wurden mit uns geteilt, um aufzuzeigen, wie die Hackergruppe 0ktapus erfolgreich das Prompt Bombing einsetzt: Nachdem sie die Anmeldedaten durch SMS-Phishing kompromittiert haben, setzen sie den Authentifizierungsprozess von einem von ihnen kontrollierten Rechner aus fort und fordern sofort einen Multi-Faktor-Authentifizierungscode (MFA) an. Sie generieren dann eine endlose Reihe von MFA-Aufforderungen, bis der Benutzer aus Frustration oder Unachtsamkeit eine davon akzeptiert. Angreifer können auch Social Engineering einsetzen, um ein Opfer dazu zu bewegen, eine Aufforderung zu akzeptieren. Im Jahr 2022 gab sich ein Hacker auf Slack als Mitglied des Sicherheitsteams von Uber aus und verschaffte sich Zugang, indem er einen Zulieferer überzeugte, eine Push-Benachrichtigung auf seinem Telefon zu akzeptieren.
Es ist auch bekannt, dass 0ktapus Telefonanrufe, SMS und/oder Telegram nutzen, um sich als IT-Mitarbeiter auszugeben. Die Opfer wurden angewiesen, entweder zu einer Website mit dem Firmenlogo zu navigieren, um dort dann deren Zugangsdaten abzugreifen, oder ein Tool zur Fernverwaltung herunterzuladen. Wenn MFA aktiviert war, hat 0ktapus die Opfer entweder direkt dazu gebracht, ihr Einmalpasswort preiszugeben, oder indirekt, indem er die MFA-Push-Fatique ausnutzte.
2. Social Engineering Angriffe auf den Service Desk
Mit Social Engineering können Angreifer Helpdesk-Mitarbeiter dazu bringen, MFA zu umgehen, indem sie vorgeben, ihr Passwort vergessen zu haben, und sich z.B. per Telefonanruf Zugang verschaffen. Wenn Service-Desk-Mitarbeiter in dieser Phase keine Verifikation des Anrufers erzwingen, könnten sie einem Hacker unwissentlich so ein erstes Standbein in der Infrastruktur ihrer Organisation verschaffen.
Genau dieses Szenario spielte sich kürzlich bei dem Cyberangriff auf MGM Resorts ab. Nachdem sich die Angreifergruppe (Scattered Spider) zunächst Zugang verschafft hatte, indem sie in betrügerischer Absicht den Service Desk anrief, um ein Passwort zurückzusetzen, konnte sie ihre dadurch erlangte Position in dem System nutzen, um einen Ransomware-Angriff zu starten. Dies unterstreicht, wie wichtig es für Unternehmen ist, die Identität von Benutzern zu überprüfen, die beim Service Desk anrufen und behaupten, sie müssten ihre Konten zurücksetzen oder freischalten.
Es ist bekannt, dass auch 0ktapus den Service Desk einer Organisation angreifen, wenn die MFA-Bombardierung nicht erfolgreich ist. Der Angreifer kontaktiert den Servicedesk eines Unternehmens und gibt vor, das Opfer zu sein. Er behauptet, dass sein Telefon nicht funktioniert oder verlegt wurde, und bittet darum, ein neues, vom Angreifer kontrolliertes MFA-Authentifizierungsgerät zu registrieren.
3. Adversary-in-the-Middle (AITM)-Angriffe
AITM-Angriffe gaukeln dem Benutzer vor, dass er sich bei einem legitimen Netzwerk, einer Anwendung oder einer Website anmeldet, während er in Wirklichkeit seine Daten in eine gefälschte Kopie einträgt. Das bedeutet, dass Hacker Passwörter abfangen und MFA-Anfragen und andere Sicherheitsmaßnahmen manipulieren können.
So kann beispielsweise eine Spear-Phishing-E-Mail im Posteingang eines Mitarbeiters landen, die sich als bekannte Quelle ausgibt. Der Link, auf den sie klicken, führt sie zu einer gefälschten Website, auf der Hacker ihre Anmeldedaten zur Wiederverwendung abfangen. Theoretisch würde MFA dies verhindern, indem eine zweite Form der Authentifizierung verlangt wird. Die Angreifer verwenden jedoch eine Taktik, die als “2FA-Pass-on” bezeichnet wird: Sobald das Opfer seine Anmeldedaten auf der gefälschten Website eingegeben hat, gibt der Angreifer dieselben Daten auf der legitimen Website ein. Dadurch wird eine MFA-Anfrage ausgelöst, die das Opfer erwartet und wahrscheinlich akzeptiert, wodurch der Angreifer vollen Zugang erhält.
Die Angreifergruppe Storm-1167 ist dafür bekannt, Phishing-Seiten zu erstellen, die die Authentifizierungsseite von Microsoft nachahmen, um das Opfer aufzufordern, seine Anmeldedaten auf der Website einzugeben. Anschließend wird dem Opfer eine weitere Phishing-Seite angezeigt, die diesmal den MFA-Schritt des Microsoft-Anmeldevorgangs imitiert. Das Opfer gibt den MFA-Code ein und gewährt den Angreifern Zugriff auf sein Konto. Von dort aus haben die Hacker vollen Zugriff auf ein legitimes E-Mail-Konto und können es als Plattform für einen mehrstufigen Phishing-Angriff nutzen.
4. Session-Hijacking
Wenn sich ein Benutzer mit seinem Kennwort und MFA authentifiziert, verwenden viele Anwendungen ein Cookie oder ein Sitzungs-Token, um zu speichern, dass der Benutzer authentifiziert ist und um den Zugriff auf geschützte Ressourcen zu ermöglichen. So verhindert das Cookie oder Token, dass sich der Benutzer mehrfach authentifizieren muss. Verwendet ein Angreifer jedoch ein Tool wie Evilginx, um das Session-Token oder das Cookie zu stehlen, kann er sich als eben jener authentifizierter Benutzer ausgeben und somit den Zugriff auf geschützte Ressourcen erlangen.
5. Sim-Swaps
Angreifer wissen, dass die MFA oft auf Mobiltelefone als das “Ding, das man besitzt” (thing you possess) angewiesen ist, um einen Authentifizierungsprozess abzuschließen. Bei einem SIM-Swap-Angriff tricksen Cyberkriminelle Dienstanbieter aus, damit sie ihre Dienste auf eine von ihnen kontrollierte SIM-Karte umstellen und so den Mobilfunkdienst und die Telefonnummer des Opfers kapern. Auf diese Weise können Angreifer die MFA-Aufforderungen für den gekaperten Dienst empfangen und sich selbst Zugang verschaffen.
Nach dem Einbruch Anfang 2022 veröffentlichte Microsoft einen Bericht, in dem die Taktik der Angreifergruppe LAPSUS$ detailliert beschrieben wurde. Dem Bericht zufolge setzt LAPSUS$ umfangreiche Social-Engineering-Kampagnen ein, um in Unternehmen Fuß zu fassen. Eine ihrer bevorzugten Techniken besteht darin, Benutzer mit SIM-Swapping-Angriffen anzugreifen, MFA-Eingabeaufforderungen zu bombardieren und die Anmeldedaten der Zielperson durch Social Engineering am Helpdesk zurückzusetzen.
6. Export von generierten Token
Eine weitere Taktik, die Angreifer anwenden können, ist die Kompromittierung des Backend-Systems, das die Multi-Faktor-Authentifizierung generiert und validiert. In einem gewagten Angriff im Jahr 2011 gelang es Angreifern, die “Seeds” zu stehlen, die RSA für die Generierung von SecurID-Tokens (Code-generierende Schlüsselanhänger, die für die Multi-Faktor-Authentifizierung verwendet werden) besitzt. Sobald die Seed-Werte kompromittiert waren, konnten die Angreifer die SecurID-Tokens klonen und sogar ihre eigenen erstellen.
Manchmal suchen die Angreifer die Hilfe von Insidern, die dafür bezahlt werden, Sitzungs-Tokens für die MFA-Genehmigung bereitzustellen. Der Telegram-Kanal der Bedrohungsgruppe LAPSUS$ hat bestätigt, dass sie in der Vergangenheit tatsächlich Zugänge von Unternehmensmitarbeitern gekauft hat und aktiv nach weiteren Insidern sucht, die als Anbieter fungieren. Microsoft hat außerdem berichtet, dass LAPSUS$ in der Lage war, mit Hilfe des RedLine Stealers Passwörter und Session Tokens zu erlangen. Diese Anmeldedaten und Sitzungs-Token werden dann in Untergrundforen oder -Marktplätzen verkauft.
7. Endpoint-Compromise
Eine Möglichkeit, MFA vollständig zu umgehen, besteht darin, einen Endpunkt mit Malware zu kompromittieren. Durch die Installation von Malware auf einem Gerät können Hacker nach erfolgreichen Anmeldungen so genannte “Shadow Sessions” (Schattensitzungen) erstellen, Sitzungscookies stehlen und verwenden oder auf zusätzliche Ressourcen zugreifen. Wenn das fragliche System es zulässt, dass Benutzer nach der ersten Authentifizierung angemeldet bleiben (durch Generierung eines Cookies oder Sitzungs-Tokens), könnten Hacker ihren Zugang für einen längeren Zeitraum behalten.
Hacker könnten auch versuchen, Wiederherstellungseinstellungen und Back-up-Verfahren auszunutzen, die weniger sicher sind als MFA-Prozesse. Menschen vergessen häufig Passwörter und benötigen regelmäßig neue oder geänderte Zugänge. Eine gängige Wiederherstellungsmethode ist beispielsweise das Senden eines E-Mail-Links an eine zweite E-Mail-Adresse (oder einer SMS mit einem Link). Wenn diese Backup-Adresse oder das Telefon kompromittiert wird, erhalten Hacker vollen Zugang zu ihrem Ziel.
8. SSO ausnutzen
Single Sign-on (SSO) ist für Benutzer bequem, da sie sich nur einmal authentifizieren müssen. Es kann jedoch von Hackern ausgenutzt werden, um sich bei einer Website anzumelden, für die nur ein kompromittiertes Kennwort erforderlich ist, und dann SSO zu nutzen, um Zugang zu anderen Websites und Anwendungen zu erhalten, die normalerweise MFA erfordern würden. Eine ausgefeilte Form dieser Technik wurde beim SolarWinds-Hack im Jahr 2020 eingesetzt, bei dem die Hacker SAML ausnutzten (eine Methode zum Austausch von Authentifizierungsdaten zwischen mehreren Parteien bei SSO). Die Hacker verschafften sich zunächst Zugang zu den Zertifikaten, die zum Signieren von SAML-Objekten verwendet werden. Damit waren sie in der Lage, sich als jeder beliebige Benutzer auszugeben und hatten vollen Zugriff auf alle SSO-Ressourcen.
9. Technische Schwachstellen
Wie jede Software hat auch MFA Bugs und Schwächen, die ausgenutzt werden können. Für die meisten MFA-Lösungen wurden Schwachstellen veröffentlicht, die vorübergehend Möglichkeiten zum Hacken boten. Beispielsweise nutzte 0ktapus die Sicherheitslücke CVE-2021-35464, um einen ForgeRock OpenAM-Anwendungsserver auszunutzen, der in vielen Unternehmen als Front-End für Webanwendungen und Fernzugriffslösungen dient. Dies unterstreicht, wie wichtig es ist, die Mitarbeiter dazu anzuhalten, ihre Geräte regelmäßig zu aktualisieren und zu patchen. Diese Risiken sollten auch die Unternehmensrichtlinien für Schatten-IT und BYOD (Bring your own devices) beeinflussen.
Weshalb starke und geheime Passwörter nach wie vor wichtig sind
Für die meisten Unternehmen ist die vollständige Eliminierung von Passwörtern wohl kaum eine Option. Und wie wir bereits dargelegt haben, reicht MFA nicht aus, um die Passwortsicherheit einfach zu ignorieren. Die Infizierung eines Kontos beginnt oft mit einem schwachen oder kompromittierten Kennworts. Sobald ein Angreifer ein Passwort hat, kann er sich darauf konzentrieren, MFA zu umgehen. Schwache Passwörter erhöhen die Wahrscheinlichkeit, dass Cyberkriminelle in Konten eindringen, dramatisch – und selbst starke Passwörter bieten keinen Schutz, wenn sie bereits kompromittiert wurden.
Mit Specops Password Policy können Sie nicht nur starke Passwortrichtlinien in Active Directory durchsetzen, um schwache Passwörter zu unterbinden, sondern es wird auch kontinuierlich nach Passwörtern gesucht, die durch Sicherheitslücken, Phishing oder die Wiederverwendung von Passwörtern kompromittiert wurden. MFA ist dann wieder eine zusätzliche Sicherheitsebene und kein alleiniges Instrument, auf das Sie sich verlassen müssen.
Möchten Sie gerne mehr darüber erfahren, wie Specops Password Policy und Specops Password Auditor in Ihrer Organisation zu mehr IT-Sicherheit beitragen kann? Dann vereinbaren Sie noch heute einen unverbindlichen Termin mit unseren Experten.
(Zuletzt aktualisiert am 22/10/2024)