Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.
Mittels dieser Schwachstellen ist es Angreifern möglich, MFA zu umgehen und auf Cloud-Anwendungen zuzugreifen, die das betreffende Protokoll verwenden. Unter Umständen betrifft dies auch Microsoft 365. Im Falle eines erfolgreichen Angriffs könnte ein Hacker vollen Zugang zum Konto des Opfers erhalten (einschließlich E-Mails, Dateien, Kontakten, sensiblen Daten etc.). Darüber hinaus bieten auch andere von Microsoft bereitgestellte Cloud-Dienste, darunter Produktions- und Entwicklungsumgebungen wie Azure und Visual Studio, ein lukratives Einfallstor.
Die Multi-Faktor-Authentifizierung (MFA) – beispielsweise als SMS zur Bestätigung einer Anmeldung in einem Online-Dienst oder die TAN beim Online-Banking – hat sich seit einiger Zeit zu einem unverzichtbaren Sicherheitselement für Cloud-Anwendungen entwickelt. Und gerade im Zuge der aktuellen Pandemie stieg die Nachfrage nach Cloud-basierten Anwendungen wie Messaging- und Kollaborationsplattformen sprunghaft an, da unzählige Mitarbeiter nunmehr ihre Arbeit von zu Hause aus verrichten mussten. Mit dieser Entwicklung ging zudem einher, dass vermehrt von privaten und folglich nicht verwalteten Geräten auf Unternehmensanwendungen zugegriffen wurde. Obendrein kam es gerade in der Hochphase der Pandemie vermehrt zu Cyberattacken, die die Sorgen vieler Angestellter auszunutzen versuchten, um Zugangsdaten zu erbeuten. Dadurch stieg in der Folge auch das Risiko, dass sich unbefugte des Zugriffs auf Cloud-Anwendungen von Unternehmen bemächtigen könnten. Die Anwendung von MFA sollte daher dazu beitragen, die Angriffsfläche des Unternehmens zu reduzieren, indem eine zusätzliche Schutzebene die Sicherheit erhöht.
Der neue Termin für die IAM CONNECT steht:
30.11. – 02.12.2020
Identity und Access-Management (IAM), lange Zeit in Business-Kreisen als ein Projekt von Organisations- und IT-Freaks mit wenig Charme, hohen Kosten und geringen Fertigstellungsaussichten („Modell BER“) wahrgenommen, hat sich zu einer unverzichtbaren Basis für die digitale Transformation und neue Geschäftsmodelle gemausert.
>> JETZT ANMELDEN
Wie Angreifer MFA umgehen
Doch auch MFA ist kein Allheilmittel. So sind bereits seit längerem verschiedene Methoden bekannt, die es Angreifern ermöglichen, Multi-Faktor-Authentifizierungsmethoden zu umgehen. Dazu zählen Echtzeit-Phishing, Channel Hijacking und die Verwendung von Legacy-Protokollen:
Phishing in Echtzeit
Im Gegensatz zum klassischen Phishing geht es beim Echtzeit-Phishing darum, die Daten beider Anmeldungen, also das Passwort wie auch den zweiten Faktor der MFA zu stehlen. Hierzu bedienen sich Cyberkriminelle zuweilen eines Proxys, der zwischen der eigentlichen Website der Cloud-Anwendung und dem Opfer geschalten wird. Die auf dem Proxy befindliche Website sieht dabei der ursprünglichen zum Verwechseln ähnlich. Mittels dieser betrügerischen Website manipuliert der Angreifer das Opfer so, dass es den Authentifizierungscode der MFA im Anschluss an seine Anmeldedaten aushändigt. Solche Angriffe können mit Werkzeugen wie Modlishka automatisiert werden. Allerdings müssen die Angreifer ihre Tools häufig aktualisieren, um nicht entlarvt zu werden und sie benötigen eine komplexe Infrastruktur.
Eine weitere Echtzeit-Phishing-Methode, die Angreifer verwenden, ist die “Challenge Reflection”, bei der die Benutzer aufgefordert werden, MFA-Zugangsdaten auf einer Phishing-Site auszufüllen. Die Zugangsdaten werden dann unmittelbar danach mit den Hackern geteilt. Die erfolgreiche Umsetzung dieser Methode erfordert jedoch eine manuelle Echtzeit-Aktion der Cyberkriminellen im Hintergrund.
Channel Hijacking
Beim Channel Hijacking wird das Telefon oder der Computer des Opfers in der Regel mit Malware angegriffen. Die entsprechende Malware kann sodann eine sogenannte Man-in-the-Browser-Technik oder Web-Injects nutzen, um die relevanten Daten zu erbeuten. Natürlich können Daten auch direkt vom Mobiltelefon gestohlen werden, beispielsweise über Textnachrichten oder durch hacken der Sprachbox der zugehörigen Telefonnummer.
Legacy-Protokolle
Eine einfachere und billigere Methode zur Umgehung von MFA stellt die Ausnutzung von Legacy Protokollen für Angriffe auf Cloud-Accounts dar. Viele Organisationen erlauben noch immer die Unterstützung dieser Protokolle für Legacy-Geräte oder -Anwendungen wie Kopierer oder gemeinsam genutzte Konten – z.B. für Konferenzräume.
Im Falle älterer E-Mail-Protokolle wie POP und IMAP wird MFA zum Teil nicht unterstützt. Das hat zur Folge, dass nicht zwingend ein zweiter Faktor zur Authentifizierung benötigt wird, um Zugriff auf einen Account zu erhalten. Diese Umgehungsmethode lässt sich leicht automatisieren und mittels Login-Daten nutzen, die aus früheren Angriffen stammen oder via Phishing erbeutet wurden.
Analysen von Proofpoint in Sachen Cloud-Bedrohungen haben gezeigt, dass in der ersten Jahreshälfte 2020 97 Prozent der untersuchten Organisationen von Brute-Force-Angriffen betroffen waren. 30 Prozent davon hatten zudem mindestens ein kompromittiertes Cloud-Konto zu beklagen. Bei der Untersuchung E-Mail-basierter Cloud-Angriffe (Credential Phishing, Malware usw.) konnte das Unternehmen feststellen, dass 73 Prozent aller überwachten Systeme attackiert und 57 Prozent von ihnen kompromittiert wurden.
Wenn es um Cloud-Sicherheit geht ist MFA kein Garant für die Vermeidung erfolgreicher Cyberangriffe. Je mehr Organisationen die Technologie implementieren, desto mehr Anwender und Sicherheitslücken gibt es, die von Angreifern missbraucht werden können. MFA kann jedoch dazu beitragen, die generelle Situation in puncto IT-Sicherheit zu verbessern. Dies gilt besonders in Kombination mit auf den Menschen ausgerichteten Sicherheitstrainings und stetigen Zugangskontrollen.
www.proofpoint.com/de