Zugangsdaten stehlen und MFA umgehen

Eine manipulierte Version des beliebten nginx-Webservers erleichtert Angreifenden sogenannte Adversary-in-the-Middle-Angriffe. Das Sicherheitsteam von Sophos X-Ops hat Evilginx in einer Testumgebung analysiert und gibt Hinweise zum Schutz vor dieser Bedrohung.

Was ist Evilginx?

Evilginx ist eine Malware, die auf dem Open-Source-Webserver nginx basiert. Sie wird verwendet, um Zugangsdaten, Sitzungs-Token und Cookies abzufangen und ermöglicht es Angreifenden, Multi-Faktor-Authentifizierung (MFA) zu umgehen.

So funktioniert Evilginx

Evilginx nutzt nginx, um Webverkehr über gefälschte Webseiten umzuleiten, die legitime Dienste wie Microsoft 365 imitieren. Diese Technik wird als Adversary-in-the-Middle (AitM)-Angriff bezeichnet. Sophos X-Ops demonstrierte die Methode mit einer manipulierten Domain und einem Microsoft-Phishlet, das einen täuschend echten Anmeldebildschirm nachbildet.

Benutzende sehen eine legitime Login-Seite, die tatsächlich über den Evilginx-Server manipuliert wird. Während der Login-Prozess scheinbar normal abläuft, werden im Hintergrund Benutzernamen, Passwörter und Sitzungsdaten abgefangen. In einem Test konnte Sophos X-Ops ein MFA-geschütztes Konto kompromittieren, ohne dass der Nutzer etwas Verdächtiges bemerkte. Erst bei bestimmten Aktionen, wie dem erneuten Anmelden nach dem Wechsel zwischen Anwendungen, könnten Unregelmäßigkeiten auffallen.

Abfangen von Zugangsdaten und Sitzungs-Tokens

Evilginx speichert die erfassten Daten, darunter:

• Benutzernamen und Passwörter
• Sitzungs-Token
• Cookies
• IP-Adresse und Benutzeragent

Durch das Speichern von Cookies kann sich der Angreifende direkt in das kompromittierte Konto einloggen, ohne die eigentlichen Zugangsdaten erneut eingeben zu müssen. Nach erfolgreichem Zugriff können Cyberkriminelle MFA-Geräte zurücksetzen, Passwörter ändern und weitere Maßnahmen ergreifen, um die Kontrolle über das Konto zu sichern.

Schutzmaßnahmen gegen Evilginx

Zur Abwehr eines Evilginx-Angriffs sind präventive und reaktive Maßnahmen erforderlich:

Reaktive Maßnahmen:

1. Sitzungen widerrufen: Alle aktiven Sitzungen und Tokens über Entra ID und Microsoft 365 zurücksetzen.
2. Zugangsdaten aktualisieren: Passwörter und MFA-Geräte des betroffenen Kontos ändern.
3. Passwortlose Authentifizierung prüfen: Falls ein passwortloser Zugang aktiviert ist, sollte dieser ebenfalls gesichert oder deaktiviert werden.

Präventive Maßnahmen:

• Phishing-resistente MFA-Lösungen einsetzen: Hardware-Token oder FIDO2-basierte Authentifizierung bieten besseren Schutz.
• Erhöhte Wachsamkeit bei Login-Seiten: Ungewöhnliche Anmeldeaufforderungen oder unerwartete Sitzungsabbrüche könnten auf eine AitM-Attacke hindeuten.
• Sicherheitsrichtlinien anpassen: Netzwerk- und Zugriffsrichtlinien können helfen, verdächtige Aktivitäten frühzeitig zu erkennen.

Fazit

Evilginx ist eine hochentwickelte Technik zur Umgehung der MFA und zum Diebstahl von Anmeldeinformationen. Da diese Methode leicht zugänglich ist, könnte sie vermehrt eingesetzt werden. Dennoch können Unternehmen und Einzelpersonen durch geeignete Schutzmaßnahmen das Risiko eines erfolgreichen Angriffs erheblich reduzieren.