Hacker umgehen Microsofts Multifaktor-Authentifizierung

Stefan Beiersmann,
Log-in Nutzername Passwort (Bild: Shutterstock)

Die Schwachstelle steckt in der Aktivierung der Anmeldung in mehreren Schritten. Sie ist unter Umständen auch mit einem bereits gehackten Konto möglich.

Cyberkriminelle haben offenbar einen Weg gefunden, mithilfe von ungenutzten Microsoft-Konten eine Multifaktor-Authentifizierung zu umgehen. Wie die Cybersicherheitsfirma Mandiant berichtet, erhalten sie so Zugriff auf Cloud-Dienste und Netzwerke. Hinter den Angriffen soll die als APT29 oder auch Cozy Bear bekannte Hackergruppe stecken, der Verbindungen zum russischen Auslandsgeheimdienst SVR nachgesagt werden.

Eine Anmeldung in mehreren Schritten soll eigentlich verhindern, dass Unbefugte die Kontrolle über Nutzerkonten übernehmen und so Cloud-Dienste und Netzwerke kompromittieren. In der Regel wird bei der Authentifizierung neben dem Passwort ein weiteres Einmal-Kennwort abgefragt. Auch Hardware-Sicherheitsschlüssel dienen als zweiter Anmeldefaktor.

Mandiant zufolge missbrauchen Cyberkriminelle derzeit das Verfahren zur Einrichtung der Multifaktor-Authentifizierung bei Microsoft Azure Active Directory und anderen Plattformen, um die Kontrolle über Microsoft-365- und andere Konten zu erhalten. Viele Plattformen erlauben es den einzelnen Nutzern, die Multifaktor-Authentifzierung – beispielsweise per Smartphone – selbstständig einzurichten. Da es für dieses Verfahren jedoch keine zusätzliche Prüfung gibt, kann jeder die Multifaktor-Authentifizierung aktivieren, der Nutzername und Passwort eines Kontos kennt: Also auch ein Hacker, der zuvor ein Kennwort per Phishing oder Brute Force erhalten hat.

Zusätzliche Sicherheitsvorkehrungen für Multifaktor-Authentifizierung

In einem von Mandiant untersuchten Fall gelang es Angreifern, das Kennwort eines eingerichteten, aber noch nie benutzten Kontos zu erraten. Beim ersten Zugriff auf Azure Active Directory wurde der Hacker aufgefordert, die Multifaktor-Authentifzierung einzurichten. Dies konnte der Angreifer mit einem eigenen Gerät erledigen, was ihm vollständigen Zugriff über das Konto verschaffte.

Anschließend hatten die Angreifer Zugriff auf die VPN-Infrastruktur der Organisation des Opfers. Mandiant weist auch darauf hin, dass ein solcher Einbruch möglicherweise für einige Zeit unentdeckt bleibt, da eigentlich nicht gegen Sicherheitsrichtlinien verstoßen wurde.

Mandiant empfiehlt, zusätzliche Sicherheitsvorkehrungen für die Einrichtung der Multifaktor-Authentifizierung zu treffen. “Unternehmen können die Registrierung von MFA-Geräten auf vertrauenswürdige Orte, wie das interne Netzwerk, oder vertrauenswürdige Geräte beschränken. Unternehmen können sich auch dafür entscheiden, MFA zu verlangen, um MFA zu registrieren”, sagt Douglas Bienstock, Incident Response Manager bei Mandiant. “Um die dadurch entstehende ‘Henne-Ei-Situation’ zu vermeiden, können Helpdesk-Mitarbeiter temporäre Zugangspässe für Mitarbeiter ausstellen, wenn diese sich zum ersten Mal anmelden oder ihr MFA-Gerät verlieren. Der Pass kann für eine begrenzte Zeit verwendet werden, um sich anzumelden, MFA zu umgehen und ein neues MFA-Gerät zu registrieren”, fügte er hinzu.