Multi-Faktor-Authentifizierung
Die größten Lücken im MFA-Schutz
MFA gehört in Zeiten rasant zunehmender Cyberangriffe zu den elementaren Sicherheitskontrollen. Immer mehr Unternehmen nutzen solche Lösungen nicht mehr nur im Admin-Bereich, sondern flächendeckend, um den Zugriff auf kritische Ressourcen abzusichern. Dafür spricht auch eine menge, gehören doch Abteilungen wie Entwicklung, Produktion oder Finanzwesen zu den sicherheitskritischen Bereichen jedes Unternehmens.
Foto: Somphop Krittayaworagul - shutterstock.com
Mit MFA lassen sich typische Risiken, etwa der Diebstahl vertraulicher Zugangsdaten durch Phishing-Angriffe, senken. Doch wie bei jeder anderen Sicherheitslösung kommt es auch hier auf die Implementierung, das Design und die operative Nutzung an. Vielfach wird übersehen, dass Angreifer eine nicht richtig konzipierte MFA-Infrastruktur leicht kompromittieren und in der Angriffskette verwenden können.
Fünf typische Angriffsvektoren zeigen, wie sich MFA-Kontrollen aushebeln lassen: Golden SAML, Architektur- und Designfehler, unsichere Token-Onboarding-Prozesse, Browser-Cookies und Zugriffsprotokolle.
1. Golden SAML
Golden SAML (Security Assertion Markup Language) ist eine Technik, die es Angreifern ermöglicht, sich als beliebige Identität in der Organisation auszugeben, sobald sie sich privilegierten Zugang zum Netzwerk verschafft haben. Mit der Golden-SAML-Methode erhalten Angreifer einen gültigen SAML-Token, mit anderen Worten: ein gefälschtes Authentifizierungselement. Damit verfügen sie über nahezu jede Berechtigung für fast alle Services eines Unternehmens - abhängig davon, welche Services SAML als Authentifizierungsprotokoll verwenden.
Durch die Fälschung von Identitäten mit gestohlenen Zertifikaten muss ein Angreifer weder ein Passwort von Benutzern kennen noch sonstige Authentifizierungsfaktoren besitzen. Auf diese Weise kann er auch den MFA-Schutz komplett umgehen. Eine detaillierte Erklärung zu Golden SAML finden Sie hier.
2. Architektur- und Designfehler
Viele Unternehmen setzen Single Sign-on (SSO) zusammen mit MFA ein, um das Risiko eines Credential-Diebstahls zu minimieren - zum Beispiel bei der Sicherung von VPN-Zugängen. Sobald Remote-Benutzer mit dem VPN verbunden sind, greifen sie mittels SSO auf verschiedene Cloud-Dienste zu. Dabei werden User, die sich von einer vertrauenswürdigen IP-Adresse innerhalb des VPN-Bereichs anmelden, oft nur nach ihren Domain-Anmeldeinformationen gefragt, bevor sie Zugriff auf den Cloud-Dienst ihrer Wahl erhalten.
Das zeigt ein grundlegendes Architekturproblem auf: MFA wird oft nur für den infrastrukturbasierten Zugriff angewendet, nicht aber für individuelle Benutzeridentitäten, die auf kritische Informationen zugreifen. MFA-Kontrollen sind damit nutzlos und machen ein Unternehmen anfällig für einen Ein-Faktor-Angriff.
3. Unsichere Token-Onboarding-Prozesse
Den Zugang zu kritischen Bereichen können Unternehmen mit MFA-Token schützen. Interessant ist dabei oft der Token-Onboarding-Prozess: Neue Benutzer erhalten eine E-Mail mit einer URL, die sie anklicken müssen, um den MFA-Soft-Token ihres Telefons mit ihrer Benutzeridentität auf dem MFA-Server des Unternehmens zu verknüpfen. Dieser Link enthält dann auch den kryptografischen Seed des MFA-Tokens des Benutzers, das heißt die primären kryptografischen Schlüssel, die zur Generierung des Tokens verwendet wurden. Der Seed wird in der Regel durch einen PIN-Code geschützt.
CyberArk-Untersuchungen zeigen aber, dass dabei oft nur ein einfacher vierstelliger Code genutzt wird, den ein Angreifer innerhalb von Sekunden knacken kann. Damit ist es ihm möglich, den MFA-Token eines Benutzers zu replizieren und eigene OTP-Codes (One TimePassword) zu generieren. So erhält der Angreifer eine volle Zugriffsmöglichkeit auf die kritischen Bereiche eines Unternehmens.
4. Browser-Cookies
Zu den beliebtesten Angriffszielen gehören Browser-Cookies, die nach einer Authentifizierung im Browser des Endbenutzers gespeichert werden. Solche Cookies werden verwendet, damit ein User sich nicht jedes Mal neu für die Nutzung einer Applikation anmelden muss, wenn er seinen Browser schließt.
Auf Windows-Systemen werden diese Cookies über die kryptografische Schnittstelle Data Protection Application Programming Interface (DPAPI) verschlüsselt. Im Wesentlichen ermöglicht DPAPI einem Nutzer einen einzigen API-Aufruf, um ein BLOB (Binary Large Object) zu verschlüsseln oder zu entschlüsseln, ohne dass lokale Administratorrechte benötigt werden.
In jeder Domain-Umgebung gibt es einen Domain-weiten Backup-Schlüssel, der DPAPI-verschlüsselte BLOBs entschlüsseln kann. Mittels Nutzung der Schnittstelle DPAPI ist es relativ einfach möglich, die Browser-Cookies und Passwörter der User unter Verwendung ihrer eigenen Credentials durch den Aufruf einer einfachen Windows-API zu entschlüsseln. Und durch die Zugriffsmöglichkeit auf die Domain-Schlüssel kann ein Angriff aus der Ferne auf alle Benutzer und Rechner in einer Domäne ausgeweitet werden.
5. Zugriffsprotokolle
Wenn auf kritische Ressourcen über mehrere Kanäle zugegriffen werden kann, unterlassen es viele Unternehmen, die sekundären Kanäle zu sichern. So nutzen sie MFA im Administratorenbereich für den Zugriff auf kritische Server über Remote Desktop Protocol (RDP). Wenn sich ein privilegierter Benutzer per RDP bei einem Server anmeldet, ruft das Windows-Betriebssystem eine MFA-Anwendung zur Verifizierung des Anmeldeversuchs auf. Das heißt: Ein Angreifer, der sich einen Administrator-Benutzernamen und ein Passwort für den Server verschafft, wird immer noch daran gehindert, über RDP auf den Server zuzugreifen.
Dabei wird allerdings vergessen, dass RDP nur eine unter vielen Zugriffsvarianten ist. In Active-Directory-Umgebungen etwa sind Remote-Management-Ports standardmäßig aktiviert. Und auf andere Protokolle wie Server Message Block (SMB) und Remote Procedure Call (RPC) kann mit Tools wie PsExec oder Powershell zugegriffen werden. Bei diesen Protokollen erfolgt in der Regel keine Zwei-Faktor-Authentifizierung, da die meisten MFA-Module eine nicht-interaktive Kommunikation nicht abdecken. Ein Angreifer wäre deshalb in der Lage, sich nur mit einem Benutzernamen und einem Passwort anzumelden und Zugriff auf den Server zu erlangen.
Fazit
Ohne Zweifel ist MFA eine wichtige Sicherheitsmaßnahme. Wie immer kommt es aber auf ein optimales Design und die richtige Implementierung an. Die jüngsten Angriffe auf Lieferketten haben gezeigt, dass Angreifer innovativ sind, wenn es darum geht, MFA-Infrastrukturen ins Visier zu nehmen. Folglich sollte MFA auch immer im Kontext einer ganzheitlichen, mehrschichtigen Identity-Security-Strategie gesehen werden, einschließlich eines Privileged-Access-Managements mit Session-Isolierung und Credential Management. Nur eine End-to-End-Sicherheit kann ein Unternehmen zuverlässig vor Angriffen schützen.