Multi-Faktor-Authentifizierung weniger sicher als angenommen – neue Sicherheitslücken entdeckt

Proofpoint, Inc., (NASDAQ: PFPT), eines der führenden Next-Generation Cybersecurity- und Compliance-Unternehmen, hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird. Mittels dieser Schwachstellen ist es Angreifern möglich, MFA zu umgehen und auf Cloud-Anwendungen zuzugreifen, die das betreffende Protokoll verwenden. Unter Umständen betrifft dies auch Microsoft 365. Im Falle eines erfolgreichen Angriffs könnte ein Hacker vollen Zugang zum Konto des Opfers erhalten (einschließlich E-Mails, Dateien, Kontakten, sensiblen Daten etc.). Darüber hinaus bieten auch andere von Microsoft bereitgestellte Cloud-Dienste, darunter Produktions- und Entwicklungsumgebungen wie Azure und Visual Studio, ein lukratives Einfallstor.

Die Multi-Faktor-Authentifizierung (MFA) – beispielsweise als SMS zur Bestätigung einer Anmeldung in einem Online-Dienst oder die TAN beim Online-Banking – hat sich seit einiger Zeit zu einem unverzichtbaren Sicherheitselement für Cloud-Anwendungen entwickelt. Und gerade im Zuge der aktuellen Pandemie stieg die Nachfrage nach Cloud-basierten Anwendungen wie Messaging- und Kollaborationsplattformen sprunghaft an, da unzählige Mitarbeiter nunmehr ihre Arbeit von zu Hause aus verrichten mussten. Mit dieser Entwicklung ging zudem einher, dass vermehrt von privaten und folglich nicht verwalteten Geräten auf Unternehmensanwendungen zugegriffen wurde. Obendrein kam es gerade in der Hochphase der Pandemie vermehrt zu Cyberattacken, die die Sorgen vieler Angestellter auszunutzen versuchten, um Zugangsdaten zu erbeuten. Dadurch stieg in der Folge auch das Risiko, dass sich unbefugte des Zugriffs auf Cloud-Anwendungen von Unternehmen bemächtigen könnten. Die Anwendung von MFA sollte daher dazu beitragen, die Angriffsfläche des Unternehmens zu reduzieren, indem eine zusätzliche Schutzebene die Sicherheit erhöht.

Wie Angreifer MFA umgehen

Doch auch MFA ist kein Allheilmittel. So sind bereits seit längerem verschiedene Methoden bekannt, die es Angreifern ermöglichen, Multi-Faktor-Authentifizierungsmethoden zu umgehen. Dazu zählen Echtzeit-Phishing, Channel Hijacking und die Verwendung von Legacy-Protokollen:

  • Phishing in Echtzeit

Im Gegensatz zum klassischen Phishing geht es beim Echtzeit-Phishing darum, die Daten beider Anmeldungen, also das Passwort wie auch den zweiten Faktor der MFA zu stehlen. Hierzu bedienen sich Cyberkriminelle zuweilen eines Proxys, der zwischen der eigentlichen Website der Cloud-Anwendung und dem Opfer geschalten wird. Die auf dem Proxy befindliche Website sieht dabei der ursprünglichen zum Verwechseln ähnlich. Mittels dieser betrügerischen Website manipuliert der Angreifer das Opfer so, dass es den Authentifizierungscode der MFA im Anschluss an seine Anmeldedaten aushändigt. Solche Angriffe können mit Werkzeugen wie Modlishka automatisiert werden. Allerdings müssen die Angreifer ihre Tools häufig aktualisieren, um nicht entlarvt zu werden und sie benötigen eine komplexe Infrastruktur.

Eine weitere Echtzeit-Phishing-Methode, die Angreifer verwenden, ist die "Challenge Reflection", bei der die Benutzer aufgefordert werden, MFA-Zugangsdaten auf einer Phishing-Site auszufüllen. Die Zugangsdaten werden dann unmittelbar danach mit den Hackern geteilt. Die erfolgreiche Umsetzung dieser Methode erfordert jedoch eine manuelle Echtzeit-Aktion der Cyberkriminellen im Hintergrund.

  • Channel Hijacking

Beim Channel Hijacking wird das Telefon oder der Computer des Opfers in der Regel mit Malware angegriffen. Die entsprechende Malware kann sodann eine sogenannte Man-in-the-Browser-Technik oder Web-Injects nutzen, um die relevanten Daten zu erbeuten. Natürlich können Daten auch direkt vom Mobiltelefon gestohlen werden, beispielsweise über Textnachrichten oder durch hacken der Sprachbox der zugehörigen Telefonnummer.

  • Legacy-Protokolle

Eine einfachere und billigere Methode zur Umgehung von MFA stellt die Ausnutzung von Legacy Protokollen für Angriffe auf Cloud-Accounts dar. Viele Organisationen erlauben noch immer die Unterstützung dieser Protokolle für Legacy-Geräte oder -Anwendungen wie Kopierer oder gemeinsam genutzte Konten – z.B. für Konferenzräume.

Im Falle älterer E-Mail-Protokolle wie POP und IMAP wird MFA zum Teil nicht unterstützt. Das hat zur Folge, dass nicht zwingend ein zweiter Faktor zur Authentifizierung benötigt wird, um Zugriff auf einen Account zu erhalten. Diese Umgehungsmethode lässt sich leicht automatisieren und mittels Login-Daten nutzen, die aus früheren Angriffen stammen oder via Phishing erbeutet wurden.

Analysen von Proofpoint in Sachen Cloud-Bedrohungen haben gezeigt, dass in der ersten Jahreshälfte 2020 97 Prozent der untersuchten Organisationen von Brute-Force-Angriffen betroffen waren. 30 Prozent davon hatten zudem mindestens ein kompromittiertes Cloud-Konto zu beklagen. Bei der Untersuchung E-Mail-basierter Cloud-Angriffe (Credential Phishing, Malware usw.) konnte das Unternehmen feststellen, dass 73 Prozent aller überwachten Systeme attackiert und 57 Prozent von ihnen kompromittiert wurden.

Wenn es um Cloud-Sicherheit geht ist MFA kein Garant für die Vermeidung erfolgreicher Cyberangriffe. Je mehr Organisationen die Technologie implementieren, desto mehr Anwender und Sicherheitslücken gibt es, die von Angreifern missbraucht werden können. MFA kann jedoch dazu beitragen, die generelle Situation in puncto IT-Sicherheit zu verbessern. Dies gilt besonders in Kombination mit auf den Menschen ausgerichteten Sicherheitstrainings und stetigen Zugangskontrollen.

Weitere Informationen zu den von Proofpoint entdeckten Sicherheitslücken sowie allgemeine Hintergrundinformationen zum Thema MFA, finden Sie im aktuellen Blog von Proofpoint.

Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und / oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber.

Über Proofpoint

Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.

Weitere Informationen finden Sie unter www.proofpoint.com/de.

Firmenkontakt und Herausgeber der Meldung:

Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (89) 45835-370
http://www.proofpoint.com/de

Ansprechpartner:
Matthias Uhl
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel