Startseite > Security > So umgehen Angreifer MFA

Mehr-Faktor-Authentifizierung

So umgehen Angreifer MFA

9. September 2021, 8:00 Uhr |

Die Nutzung von Mehr-Faktor-Authentifizierung (MFA) steigert gegenüber der schlichten Verwendung von Benutzername und Passwort das Niveau der Zugriffssicherheit erheblich. Doch die Annahme, dass Unternehmen dank MFA zu 100 Prozent vor Kontoübernahmen geschützt seien, ist ein Trugschluss, warnt der Sicherheitsanbieter Vectra. Er nennt fünf Wege, wie Angreifer – wenn auch mit höherem Aufwand – den MFA-geschützten Zugriff von Beschäftigten kompromittieren können.

1. Deaktivierung/Schwächung der Multi-Faktor-Authentifizierung: Ein Angreifer ändert eine Konfiguration, um die Fähigkeit eines Unternehmens, MFA-Richtlinien durchzusetzen, gänzlich zu deaktivieren oder zu schwächen, beispielsweise per Änderung der vertrauenswürdigen IP-Konfigurationen. Dies ermöglicht Angreifern, von ihrer Heimatbasis aus eine Verbindung herzustellen, ohne dass eine zusätzliche Authentifizierungsebene erforderlich ist.

2. Direkte Umgehung von MFA: Ein Angreifer nutzt Techniken, die einen dauerhaften Zugriff ohne MFA ermöglichen. Dies kann auf zwei Arten geschehen. Eine Möglichkeit ist die Verwendung einer bösartigen Anwendung, die der Benutzer herunterlädt; er authentisiert sich, während der Angreifer die Applikation kontrolliert. Ein zweiter Weg besteht in der Ausnutzung einer MFA-Schwachstelle, beispielsweise das Abfangen des MFA-Codes in einer SMS.

3. Ausnutzung autorisierter MFA-Ausnahmen: Dieser Fall tritt laut Vectra häufiger in Unternehmen auf, die Public-Cloud-Umgebungen nutzen. Möglich ist dies, wenn ein Angreifer Konten identifiziert, die ohne MFA-Anforderungen arbeiten, beispielsweise Dienstkonten, und diese direkt angreift. Als Alternative nutzen Angreifer ältere Anwendungen aus, die MFA nicht unterstützen, zum Beispiel einen POP/SMTP-Mail-Server.

4. Gestohlenes SAML-Signaturzertifikat: Diese Technik ist schon seit einiger Zeit bekannt, erlangte jedoch erst vor kurzem Berühmtheit, als sie in der „Solarflare“-Kampagne (dem erfolgreichen Angriff auf das US-Softwarehaus Solarwinds) Verwendung fand. Ein Angreifer stiehlt den privaten Schlüssel zum Signieren von Zertifikaten oder verfügt über ein gefälschtes Zertifikat („Golden Ticket“), das es ihm ermöglicht, jeden Aspekt eines SAMLResponse-Objekts zu kontrollieren (also Benutzername, Berechtigungssatz, Gültigkeitsdauer etc.). Die Angriffstechnik ist laut Vectra-Angaben unglaublich schwer zu erkennen, da alles legitim aussieht. Dies unterstreiche die Notwendigkeit einer kontinuierlichen Überwachung und Erkennung von Bedrohungen, wenn Benutzer über den Perimeter hinausgehen.

5. Wiederverwendung von Sessions: Angreifer kompromittieren ein System, das bereits eine authentifizierte Sitzung hat, sodass eine erneute Authentifizierung nicht erforderlich ist. Die meisten MFA-Tools haben einen Standardzeitraum von 30 Tagen, bis sie den Nutzer, die Anwendung oder das System zu einer erneuten Authentifizierung auffordern. Dies kann einem Angreifer genügend Zeit geben, um sich dauerhaft Zugang zu verschaffen.

Vectra rät deshalb als Ergänzung zu einer NDR-Lösung (Network Detection and Response) als Ergänzung zum MFA-Einsatz: Derartige Software zur Bedrohungserkennung und -abwehr dient der Identifizierung der Aktivitäten, die Angreifer durchführen, sobald sie in ein Netzwerk eingedrungen sind. Dazu zählen die Eskalation von Privilegien, Bewegungen im Netzwerk („Lateral Movement“) oder auch die Einrichtung und Aufrechterhaltung eines dauerhaften Fernzugriffs. NDR-Anbieter, so Vectra, verfügten über die Mittel, um verdächtige Aktivitäten im Zusammenhang mit MFA-Umgehungstechniken rechtzeitig zu erkennen.