Eine gut durchgeführte Mehrfaktorauthentifizierung (MFA) kann äußerst effektiv sein. Ist dies jedoch nicht der Fall, droht eine Sicherheitskatastrophe. Trotz der zunehmenden Verwendung von MFA zum Schutz ihrer Mitarbeiter ist die Methode noch nicht überall akzeptiert. Tatsächlich waren laut einer Umfrage von Microsoft im vergangenen Jahr 99,9 Prozent aller kompromittierten Konten nicht durch MFA geschützt, obwohl elf Prozent aller Unternehmenskonten mit MFA gesichert waren.
Die Corona-Pandemie hatte sowohl positive als auch negative Auswirkungen auf die Einführung von MFA. Einerseits boten Lockdowns und Remote-Arbeit einen guten Grund für mehr MFA-Einsätze, andererseits entstanden für kriminelle Hacker neue Phishing-Möglichkeiten. Unternehmen, die keine MFA und VPNs einführten, stellten einen erheblichen Anteil der Opfer dar, die während des Ausbruchs ins Visier genommen wurden.
Fünf gängige Angriffsmethoden auf MFA
Allerdings zeigt die jüngste Geschichte, dass es noch Verbesserungsbedarf bei der Absicherung der Zwei-Faktor- und Mehrfaktorauthentifizierung gibt. Wir stellen Ihnen fünf gängige Methoden vor, mit denen kriminelle Hacker MFA-Schwachstellen ausnutzen.
Textbasierte Man-in-the-Middle-Angriffe
Das größte Problem bei der Mehrfaktorauthentifizierung ist die am häufigsten verwendete Implementierungsform: die Verwendung von Einmalpasscodes über SMS. Es ist einfach für gewiefte Angreifer, Smartphones zu kompromittieren und ihre Telefonnummer vorübergehend einem Gerät zuzuweisen, das sie kontrollieren. Es gibt mehrere Möglichkeiten, einen solchen Angriff durchzuführen. Eine Möglichkeit ist die Bestechung oder Überzeugung eines Mobilfunkanbieters, ein Telefon neu zuzuweisen. Eine andere Methode besteht darin, kommerzielle Dienste zu nutzen, wie ein Reporter des Vice Magazine in einem Selbstexperiment herausfand. Für den Einsatz von 16 Dollar gelang es einem Vertragshacker, alle SMS-Nachrichten mit Hilfe eines Dienstleisters einzusehen oder umzuleiten.
Supply-Chain-Angriffe
Der bisher prominenteste Software-Supply-Chain-Angriff war der SolarWinds-Hack, bei dem verschiedene Komponenten der Software infiziert wurden. Die Benutzerunternehmen konnten so kompromittiert werden, ohne dass sie es bemerkten. Es gibt mehrere Möglichkeiten, Supply-Chain-Angriffe zu verhindern, wie etwa Quellcode-Scans in der Laufzeitumgebung. Wichtig ist zu bedenken, dass der SolarWinds-Angriff durch einen aufmerksamen Sicherheitsmitarbeiter entdeckt wurde, der sich fragte, warum ein Kollege ein zweites Telefon für die Mehrfaktorauthentifizierung registrieren wollte. Umgekehrt bedeutet dies, dass der Angreifer MFA als Angriffsvektor nutzen wollte.
Workflow-Umgehung
Ein weiteres Beispiel für eine Schwachstelle in der Mehrfaktorauthentifizierung ist die kürzlich entdeckte Schwachstelle im Liferay DXP v7.3 MFA-Modul. Die Schwachstelle ermöglicht es jedem registrierten Benutzer, sich zu authentifizieren, indem er die Einmalpasswörter anderer Benutzer ändert. Dies führt dazu, dass der betroffene Benutzer „ausgesperrt“ wird. Der Fehler wurde seitdem behoben.
Pass-the-Cookie-Angriffe
Diese Angriffsmethode verwendet Browser-Cookies und Websites, die Authentifizierungsdaten in Cookies speichern. Ursprünglich wurde dieser Ansatz aus Gründen der Benutzerfreundlichkeit gewählt. Wenn es jedoch einem Cyberkriminellen gelingt, diese Daten zu extrahieren, kann er Ihr Konto übernehmen.
Serverseitige Fälschungen
Einer der größten Exploits in der jüngeren Vergangenheit war Hafnium, bei dem eine Reihe von Angriffen verwendet wurden, um alle Authentifizierungsprozesse mit Microsoft Exchange-Servern zu brechen. Vier Zero-Day-Schwachstellen in Exchange wurden ausgenutzt, für die Microsoft seitdem eine Reihe von Patches ausgegeben hat.
Mehrfaktorauthentifizierung richtig gemacht
Diese gängigen Angriffsmethoden auf MFA machen deutlich, dass die Mehrfaktorauthentifizierung eine gewisse Sorgfalt erfordert, um richtig und sicher zu funktionieren. Schlecht durchgeführte MFA ist wie billige Sonnenbrillen – sie bietet keinen Schutz. Der Hauptgrund, warum die Mehrfaktorauthentifizierung jedoch nicht breiter eingesetzt wird, ist die schlechte Benutzererfahrung.
Um wirklich effektiv zu sein, muss MFA laut dem Analysten mit einer Zero-Trust-Architektur und kontinuierlichen Authentifizierungstechnologien kombiniert werden. Zahlreiche Anbieter haben dies erkannt und entsprechende Angebote im Portfolio – doch die Umsetzung ist alles andere als einfach.
Eine weitere Schwachstelle der Mehrfaktorauthentifizierung ist die Kontowiederherstellungsoption: Einige Unternehmen haben einen soliden MFA-Schutz für normale Kontologins, aber wenn ein Benutzer sein Passwort vergisst, beginnt der Wiederherstellungsprozess mit einem SMS-Passcode.
IT-Manager müssen daher ihre Authentifizierungsworkflows und Login-Bildschirme genau prüfen, um die Möglichkeit auszuschließen, dass Angreifer Login-Daten abgreifen, indem sie sich in den Webserver einklinken. Administratoren sollten darüber nachdenken, Bot-Management-Lösungen zu verwenden, um sicherzustellen, dass kriminelle Hacker keine Chance haben.
Die Mehrfaktorauthentifizierung sollte Teil der kritischen Infrastruktur der Unternehmenssicherheit sein. Jüngste Angriffe sowie die Dringlichkeit von Experten aus Regierung und Wirtschaft sollten der intelligenten Implementierung von MFA einen Schub verleihen.
Fazit
Es ist klar, dass die Mehrfaktorauthentifizierung, obwohl sie ein effektives Sicherheitswerkzeug sein kann, eine Reihe von Herausforderungen aufweist. Ihre Implementierung erfordert Sorgfalt und sorgfält
