Multi-Faktor-Authentifizierung aushebeln

Fortschrittliche Methoden zur Simulierung des Nutzerverhaltens

Neue Cyberangriffe gefährden die Sicherheit von MFA

Die Multi-Faktor-Authentifizierung (MFA) ist seit langem ein Eckpfeiler des Identitäts- und Zugangsmanagements. Indem Nutzer dazu angehalten werden, herkömmliche Benutzername/Passwort-Kombinationen durch zusätzliche Authentifizierungsfaktoren zu ergänzen – von Fingerabdrücken über Einmal-Passcodes bis hin zu Hardkeys – können Unternehmen ihre Netzwerke und Daten besser vor Angriffen schützen, die gestohlene Anmeldedaten nutzen.

Angreifer finden jedoch immer neue Wege, um MFA zu umgehen. Microsoft hat kürzlich eine Phishing-Kampagne aufgedeckt, bei der über 10.000 Unternehmen mit On-Path-Angriffstechniken angegriffen wurden. Die Angreifer nutzten Reverse-Proxy-Seiten, um eine gefälschte Microsoft 365-Anmeldeseite zu simulieren, von der aus sie die Passwörter und Sitzungscookies der Nutzer abfangen konnten. So konnten sie die MFA-Maßnahmen umgehen und Zugang zu zahlreichen E-Mail-Konten erhalten.

Sobald die Angreifer legitime Nutzerkonten geknackt hatten, erstellten sie Posteingangsregeln, die es ihnen ermöglichten, gezielte Angriffe zur Kompromittierung von Geschäftsmails (Business Email Compromise – BEC) auf ahnungslose Kontakte durchzuführen und weiterhin Zugang zu den Konten zu haben, selbst wenn die Nutzer später ihre Passwörter änderten.

Dieser Angriff ließ bei Organisationen, die MFA eingerichtet hatten, die Alarmglocken schrillen. Schließlich dienen MFA-Maßnahmen dazu, die Identität von Nutzern zu überprüfen und nachzuweisen, dass Mitarbeiter, Auftragnehmer, Lieferanten und andere autorisierte Parteien die sind, für die sie sich ausgeben, bevor sie Zugriff auf sensible Informationen und Systeme gewähren. Wenn sich Angreifer erfolgreich als legitime Nutzer ausgeben können, ist die Tür weit offen.

Aber MFA ist nicht das schwache Glied – und Unternehmen sollten es auch nicht für weniger robuste Methoden des Identitäts- und Zugriffsmanagements aufgeben. Vielmehr erfordert der Schutz von Nutzern und Daten vor fortschrittlichen Cyberangriffen eine umfassende Zero-Trust-Sicherheitsstrategie, die starke Authentifizierungsmaßnahmen zur kontinuierlichen Überprüfung und Überwachung aller Konten, Anwendungen und Endpunkte in einem Unternehmensnetzwerk einsetzt.

Wie Angriffe herkömmliche Cybersicherheitsmaßnahmen umgehen

On-Path-Angriffe sind nicht der einzige Ansatz, den Angreifer in letzter Zeit verwendet haben, um MFA zu kompromittieren. Das FBI und die CISA berichteten über einen russischen Cyberangriff, bei dem ein Brute-Force-Passwortangriff verwendet wurde, um Zugang zu einem inaktiven Konto bei einer NGO zu erhalten. Nachdem sich der Angreifer Zugang zu dem Konto verschafft hatte, nutzte er eine Schwachstelle namens „PrintNightmare“, um einen Code auszuführen, der ihm Systemberechtigungen verlieh und die standardmäßigen MFA-Kontrollen umging.

In anderen Fällen wurde die MFA durch menschliches Versagen beeinträchtigt. Nachdem die Universität Syracuse MFA in ihren internen E-Mail-Systemen eingeführt hatte, versuchten Angreifer, Studenten und Mitarbeiter mit einem Angriff namens „MFA-Müdigkeit (MFA Fatigue)“ zu überrumpeln. Die Angreifer nutzten Phishing und andere Methoden, um sich Zugang zu den E-Mail-Anmeldedaten zu verschaffen, und schickten dann mehrere MFA-Anfragen an die Geräte der Nutzer, in der Hoffnung, dass die Nutzer von den Anfragen so genervt sein würden, dass sie sie ablehnen. Sobald ein Nutzer einer Autorisierungsanfrage zustimmte (und sei es nur, um sein Telefon zum Schweigen zu bringen), verschaffte sich der Angreifer weiteren Zugang zu Universitätsressourcen und -konten.

Obwohl Angreifer immer wieder neue Wege finden, um MFA zu kompromittieren, ist dies kein Zeichen für eine Schwäche der MFA-Protokolle selbst. Im Gegenteil: Laut Anne Neuberger, stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien, kann die Verwendung von MFA bis zu 90 % der versuchten Cyberangriffe verhindern. Es ist wichtig, sich vor Augen zu halten, dass Cyberangriffe komplex sind. Angreifer zielen nicht einfach auf MFA ab, um in Konten einzubrechen, sondern als Teil einer Angriffskette, die auch Phishing, Malware, das Erraten von Passwörtern mit Brute-Force-Ansatz, das Ausnutzen ungepatchter Sicherheitslücken, gestohlene Anmeldedaten oder eine Kombination anderer Taktiken beinhalten kann.

Zero Trust hilft, ein Aushebeln der MFA zu verhindern

Sich auf eine einzige Sicherheitstaktik zu verlassen, schützt ein Unternehmen nicht vor immer raffinierteren Angriffen. Genauso wie Angreifer auf verschiedene Taktiken zurückgreifen, um sich Zugang zu sensiblen Konten zu verschaffen, benötigen Unternehmen eine mehrgleisige Sicherheitsstrategie, um ihre Nutzer und Daten zu schützen.

Zero Trust ist ein grundlegendes Prinzip der modernen Cybersicherheit, das jedem Nutzer, der versucht, sich Zugang zu den Ressourcen eines Unternehmens zu verschaffen, von vornherein misstraut. Dies erschwert es Angreifern – unabhängig davon, ob sie sich außerhalb oder innerhalb eines Unternehmens befinden –, in ein Netzwerk oder ein Konto einzudringen.

Praktisch ermöglicht eine Zero-Trust-Plattform den Unternehmen, ihre Netzwerke mit mehreren Methoden zu sichern, darunter die folgenden:

• Multi-Faktor-Authentifizierung: MFA kann mit einmaligen Passcodes, Push-Benachrichtigungen, biometrischen Nutzerdaten (z. B. Fingerabdruck oder Gesichtserkennung), Sicherheitsschlüsseln oder anderen Methoden zur Überprüfung der Identität von Nutzer und Gerät implementiert werden

• Kontinuierliche Überwachung und Überprüfung: Benutzer und Geräte müssen ständig neu authentifiziert werden, was es Angreifern erschwert, sich dauerhaft Zugang zu einem Netz zu verschaffen – selbst wenn sie gestohlene Anmeldedaten verwenden

• Zugriff nach dem Least-Privilege-Prinzip: Benutzer erhalten nur Zugriff auf die Ressourcen, die sie benötigen, und nicht auf das gesamte Netz

• Zugriffsverwaltung für Geräte: Geräte, die sich mit dem Netzwerk verbinden, müssen autorisiert und auf Anzeichen verdächtiger Aktivitäten überwacht werden

• Prävention von lateraler Bewegung: Mikrosegmentierung hilft, laterale Bewegungen zu verhindern, indem der Zugang zu bestimmten Bereichen des Netzes eingeschränkt wird

Mit einer Zero-Trust-Strategie ist es viel unwahrscheinlicher, dass MFA-basierte Angriffe erfolgreich sind. Selbst wenn es einem Angreifer gelingt, auf ein Benutzerkonto zuzugreifen, erhält er weder uneingeschränkten Zugriff auf das gesamte Netzwerk noch kann er sich lateral bewegen, ohne die Identität von Nutzer und Gerät ständig neu zu authentifizieren.

Weichen Sie mit Cloudflare der Gefahr von MFA-Angriffen aus

Cloudflare Zero Trust hilft dabei, Unternehmensnetzwerke und Nutzer vor ausgeklügelten Cyberangriffen zu schützen, sogar vor solchen, die versuchen, MFA-Maßnahmen auszuhebeln. Die konsolidierte Zero Trust-Plattform von Cloudflare macht es für Unternehmen einfach, konsistente Zugangskontrollen mit den geringsten Rechten über Cloud-, On-Premise- und SaaS-Anwendungen hinweg durchzusetzen und so Angreifer daran zu hindern, in sensible Systeme und Daten einzudringen und sich lateral im Unternehmen zu bewegen.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Wie Angreifer Phishing-Taktiken zur Umgehung von MFA einsetzen

• Wie die Kompromittierung von MFA Tür und Tor für Datendiebstahl und andere Angriffe öffnet

• Wichtige Strategien, um das Aushebeln der MFA zu verhindern

Verwandte Ressourcen

• Wie starke Authentifizierung Phishing-Angriffe stoppen kann

• Der (harte) Schlüssel zum Schutz vor Phishing

• Ein Wegweiser für Zero Trust