Microsoft: Hacker umgehen Multi-Faktor-Authentifizierung mit gestohlenen Tokens

Hacker haben sich laut Microsoft darauf eingestellt, dass immer mehr Unternehmen auf eine Multi-Faktor-Authentifizierung (MFA) setzen, um Nutzerkonten von Mitarbeiter zu schützen. Der Softwarekonzern beobachtete zuletzt nach eigenen Angaben eine Zunahme von Angriffen, bei denen gestohlene Tokens eingesetzt werden, um MFA auszuhebeln.

Bei solchen Angriffen werden Tokens kompromittiert, die für Nutzer ausgestellt wurden, die eine MFA bereits erfolgreich abgeschlossen haben. Die gestohlenen Tokens werden dann erneut verwendet, um sich mit einem anderen Gerät Zugang zum fraglichen Nutzerkonto zu verschaffen. Tokens werden unter anderem von OAuth 2.0 Plattformen wie Azure Active Directory verwendet, um die Authentifizierung von Nutzern zu vereinfachen und zugleich Passwort-Attacken zu erschweren.

Microsoft stuft Token-Diebstahl aufgrund der geringen technischen Anforderungen als besonders gefährlich ein. Zudem sei es schwierig, solche Attacken aufzuspüren. Da die Angriffstechnik bisher wenig verbreitet sei, seien auch nur wenige Unternehmen ausreichend darauf vorbereitet.

Auch gestohlene Cookies hebeln MFA aus

Neben dem Token benötigen Hacker auch noch die Anmeldedaten eines Nutzerkontos, an die sie laut Microsoft beispielsweise per Phishing gelangen könnten. “Wenn der Benutzer Opfer von Phishing wird, erfasst die bösartige Infrastruktur sowohl die Anmeldeinformationen des Benutzers als auch das Token”, erklärte Microsoft. Anmeldedaten und Token könnten dann für eine Vielzahl von Angriffen eingesetzt werden, darunter auch Business E-Mail Compromise.

Eine weitere Gefahr geht von “Pass-the-Cookie”-Angriffen aus. Hier haben es Angreifer nach Angaben des Softwarekonzerns auf Browser-Cookies abgesehen, die sie auf einem bereits kompromittierten Gerät finden. Cookies werden nämlich auch nach der Authentifizierung über einen Browser bei Azure Active Directory angelegt. Ein Angreifer könne ein solches Cookie an einen anderen Browser auf einem anderen Gerät weitergeben und so Sicherheitsprüfungen umgehen.

“Benutzer, die über private Geräte auf Unternehmensressourcen zugreifen, sind besonders gefährdet. Persönliche Geräte haben oft schwächere Sicherheitskontrollen als vom Unternehmen verwaltete Geräte, und IT-Mitarbeiter haben keinen Einblick in diese Geräte, um eine Gefährdung festzustellen”, ergänzte Microsoft.

Microsoft empfiehlt Unternehmen, die Gültigkeitsdauer von Tokens und Anmeldesitzungen zu verkürzen. Das hat allerdings zur Folge, dass sich Nutzer häufiger authentifizieren müssen. Zudem rät das Unternehmen, FIDO2-Sicherheitsschlüssel und Windows Hello for Business einzuführen oder auf eine zertifikatsbasierte Authentifizierung für Nutzer zu setzen. Auch rät Microsoft davon ab, Konten mit besonders hohen Nutzerrechten mit einem E-Mail-Konto zu verknüpfen.

“Wir sind uns bewusst, dass es für Unternehmen zwar empfehlenswert ist, Standort-, Geräte-Compliance- und Sitzungsdauer-Kontrollen für alle Anwendungen durchzusetzen, dies aber nicht immer praktikabel ist”, so Microsoft weiter.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago