Multi-Faktor-Authentifizierung
Wie MFA gehackt wird
David schreibt unter anderem für unsere US-Schwesterpublikationen CSO Online, Network World und Computerworld.
Wenn sie gut gemacht ist, kann Multi-Faktor-Authentifizierung (MFA) sehr effektiv sein. Wenn nicht, droht ein Security-Desaster. Obwohl immer mehr Unternehmen MFA zum Schutz ihrer Mitarbeiter nutzen, hat sich die Methode längst nicht überall durchgesetzt. Tatsächlich sind laut einer von Microsoft im letzten Jahr durchgeführten Umfrage waren 99,9 Prozent aller kompromittierten Konten nicht durch Multi-Faktor-Authentifizierung geschützt. Insgesamt sind lediglich elf Prozent aller Unternehmenskonten mit MFA gesichert.
Die Corona-Pandemie war für die Akzeptanz von MFA sowohl gut als auch schlecht. Lockdowns und Remote Work boten einerseits einen guten Anlass für mehr MFA Deployments, andererseits sind aber auch neue Phishing-Möglichkeiten für kriminelle Hacker entstanden. Im aktuellen Verizon Data Breach Investigations Report wird Bernard Wilson, Network Intrusion Response Manager beim US Secret Service, zitiert: "Organisationen, die versäumt haben, MFA zu implementieren, stellen zusammen mit VPNs einen erheblichen Prozentsatz der Opfer dar, die während der Pandemie angegriffen wurden."
Neben Covid-19 gab es in letzter Zeit weitere gute Gründe, auf Multi-Faktor-Authentifizierung zu setzen:
Google nutzt MFA seit Mai 2021 als Standardschutz für alle Benutzerkonten. Matt Tait, ehemaliger britischer GCHQ-Analyst, bezeichnete das in einem Tweet als "eine der wichtigsten Verbesserungen der Cybersicherheit in diesem Jahrzehnt."
Im Juni 2020 kündigte Apple an, dass Safari 14 FIDO2-Protokolle unterstützen wird und sich damit Android und den meisten anderen wichtigen Browsern anschließt. Hintergrund: FIDO wird immer besser, auch wenn die Implementierungen Gehirnschmalz erfordern, um sie über Browser, verschiedene Betriebssystemversionen und Smartphone-Apps hinweg einsetzen zu können.
5 gängige MFA-Angriffsmethoden
Die jüngste Vergangenheit zeigt jedoch, dass bei der Absicherung von Zwei-Faktor- und Multi-Faktor-Authentifizierung noch Luft nach oben ist. Wir zeigen Ihnen fünf gängige Methoden, die kriminelle Hacker anwenden, um MFA-Schwachstellen auszunutzen.
1. SMS-basierte Man-in-the-Middle-Angriffe
Das größte Problem der Multi-Faktor-Authentifizierung hängt mit ihrer häufigsten Implementierungsform zusammen: der Verwendung von Einmal-Passcodes per SMS. Für gewiefte Angreifer ist es ein Leichtes, Smartphones zu kompromittieren und deren Telefonnummer vorübergehend einem Gerät zuzuweisen, das unter ihrer Kontrolle steht. Es gibt mehrere Möglichkeiten, so einen Angriff auszuführen. Eine besteht darin, den Mitarbeiter eines Mobilfunkdienstleisters zu bestechen oder ihn zu überreden, ein Telefon neu zuzuweisen.
Eine andere Methode ist die Nutzung von kommerziellen Diensten, wie ein Reporter des Vice Magazine im Selbstversuch herausgefunden hat. Für die Investition von 16 Dollar gelang es einem Auftragshacker mit Hilfe eines Servicedienstleisters, sämtliche SMS-Nachrichten einzusehen beziehungsweise umzuleiten.
2. Supply-Chain-Angriffe
Der prominenteste Angriff auf eine Software-Lieferkette war bislang der SolarWinds-Hack, bei dem verschiedene Komponenten der Software infiziert wurden. Die Anwenderunternehmen konnten so kompromottiert werden, ohne es zu merken. Um Supply-Chain-Attacken zu verhindern, gibt es eine Reihe von Möglichkeiten, beispielsweise Quellcode-Scans in der Laufzeitumgebung.
Gartner-Analyst Kasey Panetta schreibt dazu in einem Blogpost vom Januar 2021: "Dabei sollten Sie nicht vergessen, dass die SolarWinds-Attacke von einem aufmerksamen Sicherheitsmitarbeiter entdeckt wurde, der sich fragte, warum ein Mitarbeiter ein zweites Telefon für die Multi-Faktor-Authentifizierung registrieren wollte. Das bedeutet im Umkehrschluss, dass der Angreifer darauf abzielte, MFA als Angriffsvektor zu nutzen."
3. Workflow Bypass
Ein weiteres Beispiel für ein Schlupfloch in Sachen Multi-Faktor-Authentifizierung ist die kürzlich entdeckte Sicherheitslücke im MFA-Modul Liferay DXP v7.3. Die Schwachstelle ermöglicht es jedem registrierten Benutzer sich zu authentifizieren, indem er die Einmalpasswörter anderer Benutzer ändert. Das führt dann dazu, dass der betroffene User "ausgesperrt" wird. Inzwischen wurde der Bug behoben.
4. Pass-the-Cookie-Attacken
Diese Angriffsmethode verwendet Browser-Cookies und Webseiten, die Authentifizierungsdaten in Cookies speichern. Ursprünglich wurde dieses Vorgehen aus Gründen der Benutzerfreundlichkeit gewählt. Gelingt es jedoch einem Cyberkriminellen, diese Daten zu extrahieren, kann er Ihr Konto übernehmen.
5. Server-side forgeries
Einer der größten Exploits in jüngerer Vergangenheit war Hafnium, bei dem mit einer Reihe von Angriffen alle Authentifizierungsvorgänge mit Microsoft-Exchange-Servern ausgehebelt werden konnten. Dabei wurden vier Zero-Day-Schwachstellen in Exchange ausgenutzt, für die Microsoft inzwischen eine Reihe von Patches herausgegeben hat.
So geht Multi-Faktor-Authentifizierung richtig
Diese gängigen MFA-Angriffsmethoden machen deutlich, dass Multi-Faktor-Authentifizierung ein gewisses Maß an Sorgfalt verlangt, wenn sie richtig und sicher funktionieren soll. Das weiß auch Garrett Bekker, Senior Analyst bei 451 Research: "Schlechte MFA ist wie eine schlechte Sonnenbrille - sie bietet keinen Schutz. Der Hauptgrund warum Multi-Faktor-Authentifizierung nicht häufiger genutzt wird, liegt jedoch in der schlechten User Experience." Um wirklich effektiv zu sein, müsse MFA nach Meinung des Analysten mit einer Zero-Trust-Architektur und Continuous Authentication Technologies kombiniert werden. Zahlreiche Anbieter hätten das erkannt und entsprechende Angebote in petto - die Implementierung sei aber alles andere als einfach.
Die Option zur Kontowiederherstellung ist eine weitere Schwachstelle der Multi-Faktor-Authentifizierung: Einige Unternehmen haben einen soliden MFA-Schutz für normale Kontoanmeldungen, wenn aber ein Benutzer sein Passwort vergisst, beginnt der Wiederherstellungsprozess mit einem SMS-Passcode.
Gerhard Giese von Akamai weist in einem Blogbeitrag darauf hin, dass MFA nicht immer ein geeignetes Mittel gegen Credential Stuffing darstellt. Seiner Einschätzung nach müssten die IT-Manager ihre Authentifizierungs-Workflows und Anmeldebildschirme genau überprüfen, um auszuschließen, dass Angreifer Logindaten durch das Anzapfen des Webservers abgreifen können. Er empfiehlt den Admins den Einsatz von Bot-Management-Lösungen, um sicherzugehen, dass kriminelle Hacker keine Chance haben.
Multi-Faktor-Authentifizierung sollte Teil der kritischen Infrastruktur der Unternehmenssicherheit sein. Die jüngsten Angriffe sowie das Drängen von Experten aus dem Regierungs- und Wirtschaftssektor sollten intelligenten MFA-Implementierungen einen Schub verleihen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.