MFA ersetzt weder Passwortsicherheit noch Zero Trust

Advertorial

Viele Verantwortliche in Unternehmen verlassen sich darauf, dass Benutzerkonten im eigenen Verantwortungsbereich sicher sind, wenn Multi-Faktor-Authentifizierung (MFA) zum Einsatz kommt. Doch die Praxis zeigt, dass die Verwendung von MFA leider ausgehebelt werden kann. Zum Einsatz kommen dazu raffinierte und zielgerichtete Spear-Phishing-Ansätze, die ihren Fokus darauf ausgerichtet haben, MFA-geschützte Benutzerkonten anzugreifen. Das heißt, parallel zum Einsatz von MFA müssen auch Zero Trust und Passwortsicherheit Berücksichtigung finden, um die Infrastruktur und eigene Daten zu schützen, MFA allein reicht nicht aus.

So hebeln Angreifer MFA-Authentifizierung durch Phishing aus

Bei einer neuen Art von Phishing-Angriffen, auch „Smishing“ genannt, spähen Angreifer zunächst spezifische Anwender aus und lernen deren Kommunikationsmuster kennen. Nach einiger Zeit wissen die Cyberkriminellen mit welchem Personenkreis die Anwender kommunizieren und beginnen daraufhin ihren zielgerichteten Spear-Phishing-Angriff. Dabei wird eine SMS an diese Anwender verschickt, mit der Information, dass Termine, Kennwörter oder andere Dinge geändert wurden. Der vermeintliche Absender dieser SMS gehört zu dem Personenkreis, mit dem die Anwender häufig kommunizieren. Daher ist die Nachricht für den Empfänger seriös.

Zusätzlich enthält die SMS einen Link zu einer Malware-verseuchten Webseite, auf die der Anwender klicken soll. Auf dieser Webseite müssen die Benutzer ihre Anmeldedaten eingeben. Oft versucht die Malware dabei noch Remotesteuerungssoftware zu installieren. Da die Seite und die Nachrichten sehr seriös gemacht sind, fallen viele Anwender darauf herein. Das Ergebnis ist ein kompromittiertes Benutzerkonto und Malware inklusive Remotesteuerungssoftware auf dem Rechner. Auch Ransomware lässt sich auf diesem Weg einschleusen.

Selbst MFA schützt vor diesen Angriffen nicht. Häufig kommen dabei auch Messengerdienste wie Telegram oder WhatsApp als Relay zum Einsatz. Bei einer Kontaktaufnahme geben sich Angreifer zum Beispiel als Techniker oder Servicemitarbeiter aus und fordern die Mitarbeiter dazu auf, die MFA-Aufforderung zu akzeptieren.

Die Anmeldung des Benutzers wird nach dem Aufrufen der Phishing-Webseite an die echte Unternehmenswebseite weitergeleitet. Diese erkennt den Zugriff als legitim an und leitet die MFA-Aufforderung ein. Der Benutzer authentifiziert sich per MFA, da er keinerlei Verdacht schöpft. Um sich vor dieser Art von Angriffen zu schützen, die übrigens immer häufiger stattfinden, helfen weitere Ansätze, die den MFA-Schutz flankieren und ihn vor dieser Art von Angriffen schützen. Das ist auch bitter nötig, wie die nächsten Beispiele zeigen.

Cloudflare, Rockstar Games, Take-Two Interactive und Uber waren bereits Opfer solcher Angriffe – auch MFA-Bombing kommt häufiger vor

Das US-amerikanische IT-Unternehmen Cloudflare war ein Opfer eines solchen Angriffs. Bei Cloudflare sind drei Mitarbeiter auf den Angriff hereingefallen, bis die IT-Abteilung auf die Cyberattacke aufmerksam wurde (https://blog.cloudflare.com/2022-07-sms-phishing-attacks). Experten schätzen, dass bei diesem Angriff über 130 Unternehmen angegriffen und insgesamt Anmeldedaten von mehr als 10.000 Benutzern abgefangen wurden. Der Erfolg dieses Angriffs spricht mehr als deutlich dafür, dass sich diese Art von Angriffen wiederholen wird. Unternehmen sollten sich darauf vorbereiten und ihre Infrastruktur schützen. Ein ähnlicher Angriff hat auf den Fahrdienstleister Uber und auch auf Rockstar Games, dem Entwickler der Grand Theft Auto-Reihe, stattgefunden. Hier haben sich die Verantwortlichen ebenso zu sehr auf die MFA-Authentifizierung verlassen. Die Hackergruppe Lapsus$ nutzt solche Angriffe auf bekannte Unternehmen, und immer mehr Trittbrettfahrer machen sich die Möglichkeiten dieser Angriffe zunutze, um auch kleinere und mittelständische Unternehmen anzugreifen.

MFA-Bombing, MFA Fatigue-Angriffe und unsicheres MFA stellen eine Gefahr für Netzwerke dar

Es gibt aber nicht nur diese Art der raffinierten Angriffe. Beim MFA-Bombing oder auch MFA Fatigue Attack (Müdigkeitsangriff) fluten Angreifer zahlreiche MFA-Endgeräte mit Nachrichten, in der Hoffnung, dass einzelne Benutzer entnervt die Anmeldungen akzeptieren und dadurch den MFA-Schutz selbst aushebeln. Durch solche Angriffe konnten sich Cyberkriminelle auch per VPN dem Uber-Netzwerk verbinden und dabei in mehrere interne Systeme eindringen. Viele Experten gehen davon aus, dass auch diese Art von Angriffen weiter zunehmen wird, weil Cyberkriminelle damit bei großen Unternehmen, die sehr viel Geld in die Sicherheit investieren, einigen Erfolg haben. Kleine und mittelständische Unternehmen und deren Anwender sind solchen Angriffen meistens nahezu schutzlos ausgeliefert.

Hinzu kommt noch, dass nicht alle MFA-Technologien gleich sicher sind. Der Einsatz von SMS als MFA ist besonders unsicher, da Cyberkriminelle mit SIM-Wapping relativ leicht SIM-Nummern übernehmen und damit MFA aushebeln können. MFA ist sehr anfällig für Man-in-the-Middle-Attacken. Daher sollten gegen Phishing und Man-in-the-Middle-Attacken auf jeden Fall resistente MFA-Technologien zum Einsatz kommen, parallel zu zusätzlichen Schutzlösungen.

Zero-Trust-Richtlinien schützen vor Smishing

Zero Trust erweitert klassische Zugriffskontrolllisten um dynamische Komponenten. Dabei geht die Umgebung generell davon aus, dass jeder Zugriff ein Angriff ist und blockiert daher die Aktionen (Zero Trust). Erst wenn ein Prüfmechanismus auf Basis bestimmter Konditionen erkennt, dass die Zugriffe mit hoher Wahrscheinlichkeit durch einen Benutzer erfolgen, der berechtigt ist, lässt das System diese zu. Diese zusätzlichen Überprüfungen umfassen das eingesetzte Gerät, die IP-Adresse, das Nutzerverhalten, Ort der Einwahl und vieles mehr.

Dabei kann das System Zugriff auf bestimmte Ressourcen zulassen, aber andere Ressourcen blockieren, wenn der Zugang des Benutzers nicht sicher genug ist. Das bremst Malware aus und blockiert sie sogar meistens. Beim Einsatz von Windows oder Microsoft Azure kommt hier Conditional Access zum Einsatz. Das System erkennt verdächtige Anmeldungen, selbst wenn diese durch MFA abgesichert sind. Angriffe wie den auf Cloudflare können Unternehmen mit Zero Trust und Conditional Access blockieren, unabhängig davon, ob Benutzer auf eine Phishing-Attacke reinfallen. Allerdings reichen Standard-Schutzfunktionen in Azure und anderen Plattformen oft nicht aus, um den Schutz umfassend zu gewährleisten. Weitere Schutzstufen sind notwendig.

Zero Trust mit Specops Password Policy und Breached Password Protection

Der Schutz eines Netzwerks ist nur dann umfassend, wenn alle Dienste und alle Verfahren gleichermaßen geschützt werden. Angreifer suchen gezielt nach Schwachstellen und nutzen diese aus. Sobald die Angreifer einmal im Netzwerk sind, bewegen sie sich seitwärts und versuchen immer neue Dienste und Benutzerkonten zu übernehmen. Dabei erbeuten sie immer mehr Daten und auch Benutzerkonten mit erhöhten Rechten. Diese gilt es unbedingt zu schützen, um Schaden von Unternehmen abzuwenden.

Mit Specops Password Policy und der integrierten Breached Password Protection lassen sich die Schutzfunktionen von MFA und Conditional Acesss noch erweitern. Der Zero-Trust-Ansatz bietet viele Möglichkeiten, um Benutzerkonten und damit schlussendlich auch komplette Infrastrukturen zu schützen. Specops Password Policy setzt erweiterte Richtlinien für den Passwortschutz in der On-Premises-Umgebung um und prüft dabei, ob vergebene Passwörter bereits kompromittiert sind. Zusammen mit Federation-Diensten und der Synchronisierung von Kennwörtern mit Azure AD lassen sich mit den beiden Lösungen Richtlinien für Benutzer On-Premises und in der Cloud umsetzen.

Durch den Einsatz solcher Lösungen lassen sich auch Angriffe abwehren, bei denen Angreifer sich an den Helpdesk wenden, um ein neues Kennwort zu erbeuten. Der Angreifer erhält das Kennwort in diesem Fall auf dem Silbertablett. Specops Secure Service Desk ist eine Lösung, die genau solche Angriffe abwehrt, indem das System zunächst sicherstellt, dass sich der entsprechende Benutzer eindeutig authentifiziert, bevor er ein neues Kennwort bekommt. Vor der korrekten Authentifizierung können Helpdesk-Mitarbeiter kein neues Kennwort generieren, die Lösung schützt Benutzer und Netzwerk zuverlässig.

Kontakt: 

Patrick Lehnis, Marketing Manager
Tel: +49 160 3484013
E-Mail: Patrick.Lehnis@specopssoft.com

Specops Software GmbH
Gierkezeile 12
10585 Berlin
Web: https://specopssoft.com/de/