Die Multi-Faktor-Authentifizierung (MFA) gilt als eine der effektivsten und vergleichsweise einfach zu implementierenden Methoden, um den Zugriff auf IT-Systeme zu schützen. Doch der aktuelle Cisco Talos Incident Response Quarterly Trends Report zeigt: Die größte Schwachstelle ist derzeit die Annahme betrügerischer MFA-Push-Nachrichten durch die User. Dieser Vorgang war für 25 Prozent aller Vorfälle im ersten Quartal 2024 verantwortlich. Knapp dahinter folgt mit 21 Prozent eine unzureichende MFA-Implementierung. Das zeigt: Fast die Hälfte aller Security Incidents hatte mit MFA-Problemen zu tun – Multi-Faktor-Authentifizierung ist also nur so sicher, wie ihre Implementierung und Nutzung.
„Unternehmen haben in den letzten Jahren große Fortschritte bei der Umsetzung von MFA erzielt, um die Gefahr durch gestohlene oder per Credential Stuffing ermittelte Passwörter zu verringern“, sagt Gergana Karadzhova-Dangela, Senior Incident Response Consultant bei Cisco Talos. „Darum versuchen Cyberkriminelle umso stärker, die zusätzliche Authentifizierungsebene anzugreifen oder zu umgehen. Daher sind für Unternehmen eine konsequente MFA-Implementierung sowie die Schulung der MitarbeiterInnen in Bezug auf MFA-basierte Attacken sehr wichtig.“
Die Angriffsmethoden
Die häufigste Art von MFA-Umgehungsversuchen sind MFA-Push-Attacken, laut Cisco Talos. Hier sendet ein Angreifer, der Zugriff auf das Passwort eines Benutzers erlangt hat, wiederholt betrügerische Push-Benachrichtigungen an dessen MFA-fähiges Gerät – in der Hoffnung, dass dieser sie irgendwann einmal akzeptiert. Das Sicherheitsforschungsteam von Cisco Duo hat 15.000 solcher Push-basierten Angriffe von Juni 2023 bis Mai 2024 ausgewertet und einige überraschende Erkenntnisse daraus gewonnen.
Im Rahmen der Analyse untersuchte das Team die Tageszeiten, zu denen betrügerische Push-Versuche in die USA gesendet werden. Die Spitzenwerte sind zwischen 13:00 Uhr und 15:00 Uhr UTC (s. Abb.). Das entspricht 9 bis 11 Uhr morgens Eastern Standard Time, also der Ostküstenzeit in den USA. Dies deutet darauf hin, dass Angreifer Push-Benachrichtigungen versenden, wenn sich NutzerInnen morgens oder während der Arbeitszeiten an Systemen anmelden. Das geschieht wohl in der Hoffnung, dass die Benachrichtigungen im Kontext des üblichen Arbeitstages weniger wahrscheinlich erkannt werden. Die kleine Spitze am frühen Abend ist nicht so eindeutig. Dann verfolgen viele Menschen Nachrichten oder soziale Medien und könnten anfälliger für eine versehentliche Push-Authentifizierung sein.
Neben dieser relativ einfachen Methode hat das Cisco Talos Incident Response-Team weitere Varianten für MFA-Angriffe entdeckt, darunter:
- Gestohlene Authentifizierungs-Tokens von Mitarbeitenden. Die Angreifer spielen dann Sitzungs-Tokens mit abgeschlossener MFA-Prüfung erneut ab. Dadurch erhalten sie eine vertrauenswürdige Benutzeridentität, mit der sie sich seitlich im Netzwerk bewegen können.
- Social Engineering-Angriffe auf die IT-Abteilung, damit sie ein Gerät des Angreifers als neues MFA-fähiges Gerät akzeptiert.
- Kompromittierung eines Auftragnehmers des Unternehmens und anschließende Änderung seiner Telefonnummer, damit die Angreifer über ihr eigenes Gerät auf MFA zugreifen können.
- Kompromittierung eines Endgeräts, Eskalation der Zugangsberechtigungen auf Admin-Ebene und anschließende Anmeldung bei der MFA-Software, um diese zu deaktivieren.
- Kompromittierung eines Mitarbeitenden, damit er auf einer MFA-Push-Nachricht, die von einem Angreifer stammt, auf „Zulassen“ klickt.
Das ewige Spiel: Neue Verteidigung, neue Entwicklungen bei MFA-Angriffen
Nicht nur Angriffstechniken entwickeln sich ständig weiter. Auch die Verteidiger entwickeln ständig neue Schutzmechanismen. Aber bereits ein paar Monate später finden die Angreifer bereits eine Umgehung. So auch beim Thema MFA:
Inzwischen gibt es Phishing-as-a-Service-Kits, die Schritte zur Umgehung von MFA anbieten. Eine dieser Plattformen ist Tycoon 2FA, die AiTM-Techniken (Attacker-in-the-Middle) einsetzt (s. Abb.). Dabei hostet ein Reverse-Proxy-Server der Angreifer eine Phishing-Webseite, fängt die Anmeldedaten der Opfer ab und leitet sie an den legitimen Dienst zur MFA weiter.
Wenn der User die in das Hacker-Tool integrierte MFA-Anfrage akzeptiert, fängt der Server die Sitzungscookies ab. Mit den gestohlenen Cookies können die Angreifer dann eine Sitzung wiederholen und so die MFA umgehen, selbst wenn die Anmeldedaten in der Zwischenzeit geändert wurden.
So können sich Unternehmen schützen
Zur Abwehr solcher MFA-basierter Angriffe stehen bereits verschiedene Maßnahmen zur Verfügung. Dazu gehören WebAuthn und die Eingabe eines vierstelligen Zahlencodes in MFA-Tools. Außerdem sollte eine Zero-Trust-Umgebung eingerichtet werden, um kontextabhängige Faktoren zu berücksichtigen, etwa wo und wann welches Gerät auf das System zugreift. Weitere Empfehlungen von Cisco Talos für die Implementierung von MFA lauten:
- Aktivierung von Number-Matching in MFA-Anwendungen wie Cisco Duo für eine zusätzliche Sicherheitsebene, damit User keine bösartigen MFA-Push-Benachrichtigungen akzeptieren.
- Einsatz von MFA für alle kritischen Dienste, einschließlich sämtlicher Services für Fernzugriff und Identity Access Management (IAM). MFA ist die effektivste Methode zur Verhinderung von Kompromittierungen aus der Ferne. Sie verhindert auch laterale Bewegungen, wenn sie von allen administrativen BenutzerInnen eine zweite Form der Authentifizierung erfordert.
- Einrichtung einer Warnmeldung für die Ein-Faktor-Authentifizierung, um potenzielle Lücken und Änderungen in der MFA-Richtlinie schnell zu erkennen. Dies verhindert zum Beispiel, dass Angreifer eine MFA zu einer Ein-Faktor-Authentifizierung herabstufen.
- Schulung der IT-MitarbeiterInnen in Bezug auf Social-Engineering-Kampagnen, bei denen Angreifer zusätzliche MFA-fähige Geräte oder Konten anfordern.
Mehr Informationen zu den aktuellen Bedrohungstrends und -taktiken gibt es im Cisco Talos Incident Response Quarterly Trends Report.
Lesen Sie den Cisco Duo Trusted Access Report, um mehr über Trends in den Bereichen Zugangsmanagement und Identität zu erfahren.
Authors