Die Multifaktor-Authentifizierung ist ein starker Schutz, um Hacker davon abzuhalten, Ihr Konto zu übernehmen. Einem aktuellen Ergebnis zufolge scheinen jedoch zwei Gruppen – Lapsus$ und SolarWinds – eine Beeinträchtigung der Funktionsweise von MFA verursacht zu haben. In diesem Beitrag besprechen wir, worum es geht und was am wichtigsten ist: Nicht alle Arten der Multifaktor-Authentifizierung sind gleich.
Ein wenig über die Multifaktor-Authentifizierung (MFA)
Wenn Sie Wenn Sie die Multifaktor-Authentifizierung für Ihr Konto aktiviert haben, müssen Sie zusätzlich zu dem Benutzernamen und dem Passwort, die Sie bei der Anmeldung bei Ihrem Konto angeben, auch einen zusätzlichen Faktor verwenden. Dies kann ein Einmalpasswort sein, das an Ihr Smartphone oder per E-Mail gesendet wird, ein Fingerabdruck oder ein physischer Sicherheitsschlüssel.
MFA-Formulare – ein Überblick
Das sind nicht alle MFAs in puncto Sicherheit gleich geschaffen. In der jüngeren Vergangenheit ist es Script-Kiddies wie der Datenerpresserbande Lapsus$ und Cozy Bear – den Bedrohungsakteuren hinter dem SolarWinds-Hack – gelungen, einige MFA-Schutzmaßnahmen zu durchbrechen. Sie haben eine Technik namens MFA Prompt Bombing verwendet, auf die wir etwas später in diesem Blog eingehen werden.
Bevor wir besprechen, was MFA Prompt Bombing ist, werfen wir zunächst einen Blick auf zwei Frameworks, auf denen die Multifaktor-Authentifizierung basiert –
Was ist MFA Prompt Bombing?
Das Konzept von MFA Prompt Bombing zeigt zunächst, wie schwach das ältere Konto ist Formen von MFA sind.
Da viele MFA-Anbieter Ihnen als zweiten Faktor einen Telefonanruf zur Bestätigung der Authentifizierung oder zum Senden von Push-Benachrichtigungen ermöglichen, haben Bedrohungsakteure in der Vergangenheit mehrere Multifaktor-Authentifizierungsanfragen gestellt Quests auf das legitime Gerät eines Benutzers. Genauer gesagt nutzte laut Mandiant-Forschern der Bedrohungsakteur Cozy Bear, der auch unter den Namen APT29, Nobelium und Dukes auftritt, diese Technik.
Aber wie um alles in der Welt haben die Bedrohungsakteure Opfer angelockt, um sie anzuzapfen? Zur Authentifizierung?
Ein Mitglied von Lapsus$ schrieb auf dem offiziellen Telegram-Kanal der Gruppe: „Rufen Sie den Mitarbeiter 100 Mal um 1 Uhr morgens an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich akzeptieren. Sobald der Mitarbeiter den ersten Anruf akzeptiert, können Sie auf das MFA-Registrierungsportal zugreifen und ein weiteres Gerät registrieren.“
Wie wir sehen können, hat der Bedrohungsakteur die Tatsache ausgenutzt, dass es keine Begrenzung für die Anzahl der Anrufe gab gemacht werden könnte. Darüber hinaus werden die Anfragen an das Gerät gesendet, es sei denn und bis der Benutzer sie akzeptiert, und sobald dies geschieht, erhält der Bedrohungsakteur Zugriff auf das Benutzerkonto.
Ganz überraschend (und alarmierend!) ein LapSus $-Mitglied behauptete, einen Microsoft-Mitarbeiter getäuscht zu haben. Dieses Mitglied sagte: „Es war möglich, sich gleichzeitig von Deutschland und den USA aus beim Microsoft VPN eines Mitarbeiters anzumelden, und dieser schien es nicht einmal zu bemerken.“ Außerdem konnte ich MFA zweimal erneut anmelden.“
Mike Grover, Verkäufer von Red-Team-Hacking-Tools für Sicherheitsexperten, sagte „Im Grunde eine einzige Methode, die viele erfordert.“ Formulare: Den Benutzer dazu verleiten, eine MFA-Anfrage zu bestätigen. ‚MFA-Bombardierung‘ ist schnell zu einem Begriff geworden, aber hier werden die heimlicheren Methoden außer Acht gelassen.“ Zu den Methoden gehören –
Möchten Sie einige Techniken, die viele Red Teams verwendet haben, um den MFA-Schutz für Konten zu umgehen? Ja, sogar „nicht phishbare“ Versionen.
Ich teile sie, damit Sie darüber nachdenken können, was auf Sie zukommt, wie Sie Abhilfemaßnahmen ergreifen werden usw. Heutzutage ist es häufiger in freier Wildbahn zu sehen.
1/n
– _MG_ (@_MG_) 23. März 2022
- Das Zielopfer als Teil der nennen Unternehmen und bitten sie, im Rahmen des Unternehmensprozesses eine MFA-Anfrage zu senden.
- Versenden einer Reihe von MFA-Anfragen in der Hoffnung, dass das Zielopfer schließlich nachgibt und die Anfrage akzeptiert, um dem Lärm ein Ende zu setzen.
- Versand 1–2 pro Tag. Hier stehen die Chancen, dass MFA-Anfragen angenommen werden, immer noch gut.
Ist die Technik, MFA einzudellen, neu? Wahrscheinlich nicht, und ein Forscher wies in einem der Tweets darauf hin –
Lapsus$ hat die „MFA-Bombenangriffe“ nicht erfunden, bitte hören Sie auf, sie zu erwähnen th sie als Erschaffer.
Dieser Angriffsvektor wurde bereits 2 Jahre vor der Einführung von Lapsus bei Angriffen in der realen Welt eingesetzt
– Greg Linares (@Laughing_Mantis), 25. März 2022
Bedeutet das also, dass FIDO2 vollständig vor Angriffen geschützt ist?
Bis zu einem gewissen Grad ja! Denn im Fall von FIDO2 benötigt die Authentifizierung das Gerät des Benutzers. MFA mithilfe von FIDO2-Formularen ist an eine physische Maschine gebunden und kann nicht einem Gerät passieren, das versucht, einem anderen Gerät Zugriff zu gewähren.
Aber was passiert, wenn Sie Ihr Telefon fallen lassen und es kaputt machen, Ihren Schlüssel verlieren oder Irgendwie den Fingerabdruckleser Ihres Laptops kaputt machen? Oder was passiert, wenn ein Hacker einen IT-Administrator dazu bringt, die Multifaktor-Authentifizierung zurückzusetzen und dann ein neues Gerät zu registrieren? Und was ist, wenn FIDO2-konforme MFA in Ihrem Fall keine Option ist?
Dann kommt MFA-Prompt-Bombing im Fall von FIDO2-Formen der Multifaktor-Authentifizierung ins Spiel –
- Wenn Werden Reset-Backup-Mechanismen verwendet, können Angreifer diese Gelegenheit nutzen.
- Angenommen, ein Unternehmen, das FIDO2-Formen von MFA verwendet, verlässt sich bei der Ausführung von Funktionen oder der Verwaltung des Netzwerks auf einen Dritten. Dieses Drittunternehmen verwendet schwächere MFA-Formulare, um auf die Netzwerke des Unternehmens zuzugreifen. Der gesamte Zweck von FIDO2 wird hier zunichte gemacht.
Nobelium konnte FIDO2 überall umgehen, aber in diesem Fall konnten die Hacker das Active Directory des Opfers ausnutzen, wo sie es ausnutzen konnten Datenbanktools, mit denen die Administratoren Benutzerkonten erstellen, löschen oder ändern oder ihnen Autorisierungsrechte zuweisen.
ZusammenfassungWir möchten die Tatsache bekräftigen, dass böswillige Akteure immer stärkere Formen entwickeln, um MFAs zu vereiteln sollte benutzt werden. Dennoch ist die Verwendung einer MFA immer noch ein wesentlicher Schritt zum Schutz Ihrer Online-Konten. Wenn Ihnen das, was Sie gelesen haben, gefallen hat, geben Sie diesem Beitrag einen Daumen nach oben und teilen Sie Ihre Meinung im Kommentarbereich unten mit.
Lesen: 0
