Share
Beitragsbild zu Den Bypass verhindern

Den Bypass verhindern

Mit einfachen Mitteln mehrstufige Authentifizierung absichern

Hacker nutzen häufige Schwachstellen aus, um die Multi-Faktor-Authentifizierung zu umgehen. Dabei lassen sich mit relativ einfachen Lösungen solche Sicherheitsrisiken minimieren.

Mittlerweile haben viele Unternehmen verstanden, dass die Verwendung eines einstufigen Authentifizierungsmechanismus (Benutzername und Kennwort) in externen Portalen ein Sicherheitsrisiko darstellt. Ohne eine Richtlinie für starke Kennwörter wählen Benutzer oft, sei es aus Bequemlichkeit oder Unwissenheit, schwache oder alte Kennwörter. Das macht ihr Konto anfällig für Übergriffe. Die Einführung der Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, um eine Kontoübernahme zu verhindern. Bei Verwendung dieses Mechanismus müssen Benutzer einen Benutzernamen/ein Kennwort und einen zweiten Faktor angeben, um sich erfolgreich authentifizieren zu können. Aber was sind die häufigsten Fallstricke, die Hacker nutzen, um MFA zu umgehen?

 Wie Hacker Passwörter erraten

Die Secureworks Adversary Group (SwAG) ist ein Team von 90+ ethischen Elite-Hackern, die jährlich +1400 Engagements durchführen. Während ihrer Penetration Testing Engagements sind sie häufig in der Lage, die Passwörter von Konten zu erraten. Die Technik dahinter ist einfach: Der Gegner durchsucht das LinkedIn-Profil der Opferorganisation, sammelt den Vor- und Nachnamen aller Mitarbeiter und erstellt eine Benutzerliste.

Anschließend erstellen sie mithilfe der integrierten Microsoft365-Funktionen verschiedene Kombinationen aus Vor- und Nachname eines Mitarbeiters (max.mustermann, mmustermann, maxmustermann usw.), um das für die Authentifizierung verwendete Benutzernamenformat heraus zu bekommen.

Wenn Sie ein Benutzernamenformat kennen, können Sie eine Benutzernamenliste aller Mitarbeiter erstellen, die in der LinkedIn-Gruppe der Opferorganisation gefunden wurden. Mit diesem Wissen können Gegner ein Passwort-Spray durchführen, um Mitarbeiter mit schwachen aber gängigen Passwörtern wie „123456“, „passwort“, „hallo“ usw. zu identifizieren.

Anders als bei einem Brut-Force-Angriff, bei dem das Opfer bereits identifiziert ist und lediglich das Passwort erraten werden muss, wird mittels Passwort-Spray der passende User zu einem bestimmten Passwort ermittelt.

Leider ist es immer noch üblich, dass Mitarbeiter oder der Helpdesk bei der Auswahl von Passwörtern einfache Begriffe aus einem Wörterbuch verwenden, sodass Angreifer die Anmeldeinformationen leicht erraten können.

Wie Hacker MFA umgehen

Wenn ein simulierter Gegner Anmeldeinformationen durch Passwort-Spraying oder Phishing kompromittiert hat, stößt SwAG immer wieder auf einen bestimmten MFA-Mechanismus.

Das einfachste, aber gebräuchlichste MFA-Bypass-Szenario besteht darin, ein Konto zu finden, das sich noch nicht mit MFA registriert ist. Das kann von einem neuen Mitarbeiter sein, der sich gerade im Onboarding befindet, oder ein externer Dienstleister, der noch nicht auf sein Konto zugegriffen hat. Mit einer gültigen Kombination aus Benutzername und Passwort kann ein Hacker einfach sein eigenes Mobiltelefon registrieren und erhält so authentifizierten Zugriff.

Ein weiteres gängiges Szenario besteht darin, externe Systeme aufzuspüren, die nicht durch MFA geschützt sind. Beispielsweise kann ein externer Perimeter einer Organisation MFA für Microsoft365 und ihre SSL-VPN erzwingen. Aber was ist zum Beispiel mit einem alten Citrix-Portal, das nicht mehr von Mitarbeitern genutzt wird und seinerzeit beim Rollout von MFA vergessen wurde? Dieses System wäre ein Ziel der Wahl für einen Hacker, der Anmeldeinformationen kompromittiert hat, um im internen Netzwerk Fuß zu fassen.

MFA kommt in verschiedenen Varianten daher; Manchmal müssen Benutzer eine Push-Benachrichtigung akzeptieren, manchmal ist ein Einmal-Token erforderlich. Angreifer umgehen Push-Benachrichtigungen, indem Sie den Benutzer mürbe machen. Auch bekannt als Prompt-Bombing-Technik, sendet der Cyberkriminelle mehrere Push-Benachrichtigungen in kurzer Folge, bis der Benutzer genervt eine von ihnen akzeptiert, um nicht mehr gestört zu werden. Eine weitere MFA-Umgehungstechnik besteht darin, die Ortszeit des Opfers zu identifizieren und beispielsweise bis 9.00 Uhr morgens zu warten, um eine Push-Benachrichtigung zu senden. Es ist wahrscheinlicher, dass das Opfer diese Benachrichtigung als Teil seiner morgendlichen Anmelderoutine akzeptiert, anstatt einer Benachrichtigung, die mitten in der Nacht empfangen wird. Obwohl diese MFA-Umgehungstechniken simplifiziert sind, werden sie aktiv von Bedrohungsgruppen wie der Lapsus $ Threat Group verwendet, die in den letzten Monaten Microsoft, Okta und Nvidia gehackt hat.

One Time Token sind die sicherste Alternative, da ein Mitarbeiter das Token manuell in ein Webportal eingeben muss. Die Token werden von Mitarbeitern oft nicht als sensible Informationen betrachtet. Beispielsweise ist die Secureworks Adversary Group während der Red Team-Engagements oft erfolgreich darin ihre Opfer dazu zu bringen, ihr One Time Token preiszugeben, indem sie sich am Telefon als IT-Helpdesk ausgeben.

Richtlinien zum Härten

Organisationen sollten die folgenden Punkte der nicht abschließend vollständigen Liste in ihre Praktiken integrieren, um Kontoübernahmen zu verhindern:

  • Erzwingen Sie eine Richtlinie für sichere Kennwörter (15 Zeichen, Groß-/Kleinschreibung und Sonderzeichen).
  • Verweigern Sie Begriffe aus Wörterbüchern, um das Erraten von Kennwörtern zu verhindern.
  • Überwachen Sie Authentifizierungsversuche, um Passwort-Spray-Angriffe zu erkennen.
  • Überprüfen Sie die geschäftskritischen Anforderungen aller externen Assets gründlich.
  • Wenn eine Authentifizierung erforderlich ist, erzwingen Sie MFA via Single Sign On.
  • Beauftragen Sie Institutionen wie die Secureworks® Adversary Group um Schwachstellen in Ihren Verteidigungslinien aufzuspüren und potentielle Einfallsvektoren für Cyberkriminelle abzusichern.
 IT-Sicherheit ist Unternehmenssicherheit

Cybersecurity ist heute mehr denn je der Schlüssel für eine erfolgreiche digitale Transformation und dient der Sicherung der eigenen Marke, was in turbulenten Zeiten einen nicht zu unterschätzenden Wettbewerbsvorteil für ein Unternehmen bedeutet kann.

Autor: Ben Jacob, Senior Consultant Solutions Architect

www.secureworks.com

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Vertrauen Sie KI? – Digital Trust als Schlüssel zur erfolgreichen (digitalen) Transformation”

Vertrauen Sie KI? – Digital Trust als Schlüssel zur erfolgreichen (digitalen) Transformation

Featured image for “Zeit ist Geld: Effizienter Schutz für resilientere ERP-Systeme”

Zeit ist Geld: Effizienter Schutz für resilientere ERP-Systeme

Featured image for “Pentesting: Von den Besten lernen”

Pentesting: Von den Besten lernen

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 4”

(Tickende) Zeitbombe NIS2 – Kapitel 4

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 3”

(Tickende) Zeitbombe NIS2 – Kapitel 3

Studien

Featured image for “Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf”

Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf

Featured image for “GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind”

GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind

Featured image for “Studie: Sicherheitsbedenken bremsen Tech-Innovation aus”

Studie: Sicherheitsbedenken bremsen Tech-Innovation aus

Featured image for “Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit”

Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit

Featured image for “Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos”

Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos

Whitepaper

Featured image for “Deutsche Wirtschaft setzt auch auf Open Source”

Deutsche Wirtschaft setzt auch auf Open Source

Featured image for “Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen”

Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen

Featured image for “IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren”

IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren

Featured image for “Trotz gutem Gehalt: Drei viertel aller IT-Fachkräfte sind wechselbereit”

Trotz gutem Gehalt: Drei viertel aller IT-Fachkräfte sind wechselbereit

Featured image for “Verizon Business 2023 Payment Security Report: Neue Erkenntnisse zur Optimierung der Zahlungssicherheit”

Verizon Business 2023 Payment Security Report: Neue Erkenntnisse zur Optimierung der Zahlungssicherheit

Unter4Ohren

Featured image for “Pentesting: Von den Besten lernen”

Pentesting: Von den Besten lernen

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 4”

(Tickende) Zeitbombe NIS2 – Kapitel 4

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 3”

(Tickende) Zeitbombe NIS2 – Kapitel 3

Featured image for “Ein konkreter Weg zur Cyber Resilience mit Red Sift”

Ein konkreter Weg zur Cyber Resilience mit Red Sift

Featured image for “qSkills Security Summit 2023: Gipfeltreffen für IT-Experten und Führungskräfte”

qSkills Security Summit 2023: Gipfeltreffen für IT-Experten und Führungskräfte