CyberArk: Multi-Faktor-Authentifizierung richtig konzipieren
MFA-Sicherheit kann Trugschluss sein
Für viele Unternehmen wurde 2020 die Multi-Faktor-Authentifizierung (MFA) zu einer "Muss"-Sicherheitskontrolle. Eine falsch konzipierte oder implementierte MFA-Infrastruktur kann allerdings leicht kompromittiert und in der Angriffskette verwendet werden. Die Sicherheitsexperten von CyberArk nennen vier Szenarien für die Umgehung von MFA-Kontrollen.
Die mit einer unzureichenden MFA-Implementierung verbundenen Gefahren werden zunehmend deutlich: CyberArk hat nach eigenen Angaben seit Anfang 2020 vermehrt Anfragen von Unternehmen zur Simulation von MFA-Bypass-Angriffen erhalten. Im Rahmen dieser Aufträge hat der Security-Spezialist vier Hauptangriffsvektoren identifiziert: Architektur- und Designfehler, unsichere Token-Onboarding-Prozesse, Browser-Cookies und Zugriffsprotokolle.
1. Architektur- und Designfehler
Viele Unternehmen setzen SSO (Single Sign-on) mit MFA ein, um das Risiko eines Credential-Diebstahls zu minimieren. Bei einer von CyberArk durchgeführten Angriffssimulation nutzte ein großes globales Unternehmen einen MFA-Anbieter, um seinen VPN-Zugang zu sichern. Sobald Remote-Benutzer mit dem VPN verbunden waren, griffen sie mittels SSO auf verschiedene Cloud-Dienste zu. CyberArk-Tests ergaben allerdings, dass Benutzer, die sich von einer vertrauenswürdigen IP-Adresse innerhalb des VPN-Bereichs anmeldeten, nur nach ihren Domain-Anmeldeinformationen gefragt wurden, bevor sie Zugriff auf einen Cloud-Dienst erhielten.
Dies zeigt ein grundlegendes Architekturproblem auf: MFA war nur für den infrastrukturbasierenden Zugriff konzipiert, nicht jedoch für individuelle Benutzeridentitäten, die auf kritische Informationen zugreifen. MFA-Kontrollen waren damit nutzlos und machten das Unternehmen anfällig für einen Ein-Faktor-Angriff.
2. Unsichere Token-Onboarding-Prozesse
In einem weiteren CyberArk-Projekt war es das Ziel, in die sensiblen Industrienetzwerke eines Unternehmens einzudringen, die durch MFA-Token geschützt sind. CyberArk verschaffte sich zunächst Zugang zum IT-Netzwerk und begann mit der Überprüfung von Benutzer-E-Mails. Dabei fiel schnell etwas Seltsames am anfänglichen Onboarding-Prozess auf: Neue Benutzer erhielten eine E-Mail mit einer URL, die sie anklicken mussten, um das MFA-Soft-Token ihres Telefons mit ihrer Benutzeridentität auf dem MFA-Server des Unternehmens zu verknüpfen.
Dieser Link enthielt auch den kryptografischen Seed des MFA-Tokens des Benutzers. Oder mit anderen Worten die primären kryptografischen Schlüssel, die zur Generierung des Tokens dienten. Die gute Nachricht war, dass der Seed durch einen PIN-Code geschützt war. Mit den E-Mails hatte CyberArk Zugriff auf die kryptografischen Seeds und benötigte nur noch den PIN-Code und den Zeitstempel, um doppelte MFA-Token zu erstellen und eigene OTP-Codes im Namen der Benutzer zu generieren. Dabei wurde schnell deutlich, dass jeder einzelne Seed durch einen einfachen vierstelligen Code geschützt war, der sich innerhalb von Sekunden knacken ließ. Dadurch konnte CyberArk den MFA-Token eines jeden Benutzers nach Belieben replizieren. Das Ergebnis war eine volle Zugriffsmöglichkeit auf das industrielle Netzwerk.
- MFA-Sicherheit kann Trugschluss sein
- Cookies und Protokolle
Lesen Sie mehr zum Thema
