MFA
Multi-Faktor-Authentifizierung bietet keinen 100-prozentigen Schutz
Techniken mit denen MFA umgangen werden kann
Unzählige Unternehmen verlassen sich auf die Multi-Faktor-Authentifizierung (MFA), um Cyberangriffe zu verhindern. Die Annahme, dass sie dank MFA zu 100 Prozent vor Account-Takeovers geschützt sind, ist jedoch ein Trugschluss. Einigen Berichten zufolge kann MFA das Risiko einer Identitätskompromittierung um 99 Prozent senken im Vergleich zum Einsatz von Passwörtern. Die Angreifer wissen dennoch, wie sie MFA umgehen können. Auf was gilt es also zu achten? Vectra AI wirft einen Blick auf MFA und ergänzende Schutzmechanismen.
Die gute Nachricht: Selbst wenn MFA umgangen wird, lassen sich Angriffe erkennen und stoppen, bevor sie sich zu größeren Sicherheitsvorfällen auswachsen. Dies ist angesichts der zunehmenden Verbreitung und Nutzung der Cloud wichtiger denn je. 71 Prozent der Teilnehmer an einer kürzlich durchgeführten Cloud-Umfrage waren in den letzten zwölf Monaten von durchschnittlich sieben Account-Übernahmen betroffen. Angesichts dessen ist die Sichtbarkeit von Kontoaktivitäten ein absolutes Sicherheitsgebot.
Vectra AI hat in den vergangenen Monaten die fünf wichtigsten Techniken beobachtet, die Angreifer zur Umgehung von MFA und Zwei-Faktor-Authentifizierung (2FA) einsetzen.
Deaktivierung/Schwächung der Multi-Faktor-Authentifizierung
Ein Angreifer ändert eine Konfiguration, um die Fähigkeit eines Unternehmens, MFA-Richtlinien durchzusetzen, gänzlich zu deaktivieren oder zu schwächen. Dies erfolgt beispielsweise durch die Änderung der vertrauenswürdigen IP-Konfigurationen. Es ermöglicht Angreifern, von ihrer Heimatbasis aus eine Verbindung herzustellen, ohne dass eine zusätzliche Authentifizierungsebene erforderlich ist.
Direkte Umgehung von MFA
Dies ist der Fall, wenn ein Angreifer Techniken verwendet, die einen dauerhaften Zugriff ohne MFA ermöglichen. Dies kann auf zwei Arten geschehen: erstens, durch die Verwendung einer bösartigen Anwendung, die vom Benutzer heruntergeladen wird und sich authentifiziert, während sie noch vom Angreifer kontrolliert wird; oder zweitens, durch die Ausnutzung einer MFA-Schwachstelle wie das Abfangen des 2FA-Codes in einer SMS.
Ausnutzung von autorisierten MFA-Ausnahmen
Dieser Fall tritt häufiger in Unternehmen auf, die Public-Cloud-Umgebungen nutzen. Möglich ist dies, wenn ein Angreifer Konten identifiziert, die ohne MFA-Anforderungen arbeiten, wie etwa Dienstkonten, und diese direkt angreift. Alternativ nutzen Angreifer ältere Anwendungen aus, die MFA nicht unterstützen, wie z. B. einen POP/SMTP-Mailserver.
Gestohlenes SAML-Signaturzertifikat
Diese spezielle Technik ist schon seit einiger Zeit bekannt, erlangte jedoch erst vor kurzem Berühmtheit, als sie in der Solarflare-Kampagne (auch bekannt als „Solarwinds Breach“) eingesetzt wurde. Sie tritt auf, wenn ein Angreifer den privaten Schlüssel zum Signieren von Zertifikaten gestohlen hat oder über ein gefälschtes (auch bekannt als „goldenes Ticket“) verfügt, das es ihm ermöglicht, jeden Aspekt des SAMLResponse-Objekts zu kontrollieren (z. B. Benutzername, Berechtigungssatz, Gültigkeitsdauer und mehr). Diese Technik ist unglaublich schwer zu erkennen, da alles legitim aussieht. Sie unterstreicht jedoch die Notwendigkeit einer kontinuierlichen Überwachung und Erkennung von Bedrohungen, wenn Benutzer über den Perimeter hinausgehen.
Wiederverwendung von Sessions
Angreifer kompromittieren ein System, das bereits eine authentifizierte Sitzung hat, so dass eine erneute Authentifizierung nicht erforderlich ist. Die meisten MFA-Tools haben einen Standardzeitraum von 30 Tagen, bis sie den Benutzer/die Anwendung/das System zu einer erneuten Authentifizierung auffordern, was dem Angreifer genügend Zeit gibt, sich dauerhaft Zugang zu verschaffen.
Jenseits der Umgehung
MFA ist ein großartiges Präventionsinstrument, das viele Angriffe verlangsamen oder stoppen kann. Wie jede andere präventive Sicherheitstechnologie kann – und wird – sie früher oder später umgangen werden. Nötig ist deshalb zusätzlich eine NDR-Lösung: Bedrohungserkennung und -reaktion konzentriert sich auf die Identifizierung der unzähligen Aktivitäten, die Angreifer durchführen, sobald sie in das System eingedrungen sind. Diese reichen von der Eskalation von Privilegien und seitlichen Bewegungen bis hin zur Einrichtung und Aufrechterhaltung eines dauerhaften Zugriffs. In einem Arsenal von mehr als 70 Algorithmen halten etablierte NDR-Anbieter mehrere Chancen bereit, die verdächtige Aktivitäten im Zusammenhang mit MFA-Umgehungstechniken rechtzeitig erkennen.
