Schwachstellen bei der Multifaktor Authentifizierung

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Seit der flächendeckenden Einführung von Multifaktor-Authentifizierungs-produkten in einer Reihe von Unternehmen und IT-Produkten sowie Portalen häufen sich die Vorfälle, bei denen die Maßnahmen umgangen werden. Angreifer haben sich mittlerweile darauf spezialisiert, mit mehreren Authentifizierungsstufen umzugehen. Es ist zunehmend üblich, dass Angreifer QR-Codes oder Bilder verwenden, um Opfer in die Irre zu führen. In den Betreffzeilen von Phishing-E-Mails wird oft der Name bekannter Marken oder Unternehmen missbraucht, um die Aufmerksamkeit zu erregen.

Folgende Methoden sind mittlerweile verbreitet:

  1. Bilder anstelle von Text.
  2. QR-Codes anstelle von infizierten Links und Anhängen.
  3. Zufallsgenerierung von „Absender“-Namen und E-Mail sowie Verschlüsselung mit SHA-256.
  4. Manipulation von Betreffzeilen zur Verfälschung von Authentifizierungsdaten (SPF, DKIM, …).

Auf diese oder ähnliche Weise überlisten Angreifer vorhandene Filter und andere technische Schutzmaßnahmen, sodass Phishing-E-Mails im Posteingang der Mitarbeiter landen.

Im September hatte der Anbieter von Identitäts- und Authentifizierungsmanagement Okta vor Social-Engineering-Angriffen gewarnt, die die Mehrfaktor Authentifizierung umgehen. Diese Angriffe zielen auf IT-Mitarbeiter ab und versuchen, Administratorrechte zu erlangen, um Unternehmensnetzwerke zu infiltrieren und zu übernehmen.

Mehrere Unternehmen in den USA waren von wiederholten Social-Engineering-Angriffen auf IT-Service-Desk-Mitarbeiter betroffen. Bei diesen Angriffen versuchten die Angreifer, die Mitarbeiter des Service-Desks dazu zu bringen, alle Mehrfaktor-Authentifizierungsfaktoren (MFA), die von hoch privilegierten Benutzern eingerichtet wurden, zurückzusetzen. Nachdem die hoch privilegierten Okta-Superadministrator-Konten kompromittiert waren, scheinen die Angreifer diese Situation auszunutzen, um legitime Identitätsföderationsfunktionen zu missbrauchen. Dadurch konnten sie sich innerhalb der infiltrierten Organisation als berechtigte Benutzer ausgeben.

Nach Angaben des MFA-Anbieters verfügten die Angreifer bereits über einige Informationen über die Zielorganisationen, bevor sie die IT-Mitarbeiter kontaktierten. Es scheint, dass sie entweder im Besitz von Passwörtern für privilegierte Benutzerkonten sind oder die Fähigkeit besitzen, den Authentifizierungsfluss über das Active-Directory zu beeinflussen. Dies tun sie, bevor sie den IT-Service-Desk einer Zielorganisation kontaktieren und das Zurücksetzen sämtlicher MFA-Faktoren des Zielkontos anfordern. Bei den betroffenen Unternehmen hatten sie es speziell auf Nutzer mit Superadministrator-Rechten abgesehen. Darüber hinaus gaben sie sich außerdem mit einer gefälschten App als ein anderer Identitätsmanagement-Anbieter aus.

Eine wirksame Methode, um das eigene Unternehmen trotz kompromittierter MFA zu schützen, sind Schulungen zur Sensibilisierung für Sicherheitsfragen. Mitarbeiter aus allen Abteilungen können dadurch lernen, Social-Engineering-Taktiken zu erkennen und sich vor zielgerichteten Angriffen auf ihre Konten, sei es per E-Mail, in Teams-Chats oder in sozialen Medien, zu schützen.

#KnowBe4