Implementierung und Nutzung entscheidend für MFA-Sicherheit

Die Multi-Faktor-Authentifizierung (MFA) gilt als eine der effektivsten und vergleichsweise einfach zu implementierenden Methoden, um den Zugriff auf IT-Systeme zu schützen. Der aktuelle Cisco Talos Incident Response Quarterly Trends Report zeigt jedoch: Die größte Schwachstelle ist derzeit die Annahme betrügerischer MFA-Push-Nachrichten durch die User. Dieser Vorgang war für 25 Prozent aller Vorfälle im ersten Quartal 2024 verantwortlich, gefolgt mit 21 Prozent von einer unzureichenden MFA-Implementierung. 
 
Die häufigste Art von MFA-Umgehungsversuchen sind laut Cisco Tales MFA-Push-Attacken. Hier sendet ein Angreifer, der Zugriff auf das Passwort eines Benutzers erlangt hat, wiederholt betrügerische Push-Benachrichtigungen an dessen MFA-fähiges Gerät – in der Hoffnung, dass dieser sie irgendwann einmal akzeptiert.

Die Security-Experten von Cisco Talos haben die Push-basierten Angriffe von Juni 2023 bis Mai 2024 ausgewertet. Im Rahmen der Analyse untersuchte das Team die Tageszeiten, zu denen betrügerische Push-Versuche in die USA gesendet werden. Die Spitzenwerte sind zwischen 13:00 Uhr und 15:00 Uhr UTC. Das entspricht 9 bis 11 Uhr der Ostküstenzeit in den USA. Dies deutet darauf hin, dass Angreifer Push-Benachrichtigungen versenden, wenn sich Nutzer morgens oder während der Arbeitszeiten an Systemen anmelden. Das geschieht in der Hoffnung, dass die Benachrichtigungen im Kontext des üblichen Arbeitstages weniger wahrscheinlich erkannt werden. 

Weitere Varianten für MFA-Angriffe sind

Gestohlene Authentifizierungs-Tokens von Mitarbeitenden
Die Angreifer spielen dann Sitzungs-Tokens mit abgeschlossener MFA-Prüfung erneut ab. Dadurch erhalten sie eine vertrauenswürdige Benutzeridentität, mit der sie sich seitlich im Netzwerk bewegen können.

Social Engineering-Angriffe
auf die IT-Abteilung, damit sie ein Gerät des Angreifers als neues MFA-fähiges Gerät akzeptiert.

Kompromittierung eines Auftragnehmers des Unternehmens
und anschließende Änderung seiner Telefonnummer, damit die Angreifer über ihr eigenes Gerät auf MFA zugreifen können.

Kompromittierung eines Endgeräts
Eskalation der Zugangsberechtigungen auf Admin-Ebene und anschließende Anmeldung bei der MFA-Software, um diese zu deaktivieren.

Kompromittierung eines Mitarbeitenden
damit er auf einer MFA-Push-Nachricht, die von einem Angreifer stammt, auf „Zulassen“ klickt.

Ewiges Katz-und-Maus-Spiel

Nicht nur Angriffstechniken entwickeln sich ständig weiter. Auch die Verteidiger entwickeln ständig neue Schutzmechanismen. Aber bereits ein paar Monate später finden die Angreifer bereits eine Umgehung. Inzwischen gibt es Phishing-as-a-Service-Kits, die Schritte zur Umgehung von MFA anbieten. Eine dieser Plattformen ist Tycoon 2FA, die AiTM-Techniken (Attacker-in-the-Middle) einsetzt. Dabei hostet ein Reverse-Proxy-Server der Angreifer eine Phishing-Webseite, fängt die Anmeldedaten der Opfer ab und leitet sie an den legitimen Dienst zur MFA weiter. 

Wenn der User die in das Hacker-Tool integrierte MFA-Anfrage akzeptiert, fängt der Server die Sitzungscookies ab. Mit den gestohlenen Cookies können die Angreifer dann eine Sitzung wiederholen und so die MFA umgehen, selbst wenn die Anmeldedaten in der Zwischenzeit geändert wurden.

Abwehr mit WebAuthn und Zahlencodes

Zur Abwehr solcher MFA-basierter Angriffe stehen verschiedene Maßnahmen zur Verfügung. Dazu gehören WebAuthn und die Eingabe eines vierstelligen Zahlencodes in MFA-Tools. Außerdem sollte eine Zero-Trust-Umgebung eingerichtet werden, um kontextabhängige Faktoren zu berücksichtigen, etwa wo und wann welches Gerät auf das System zugreift. Weitere Empfehlungen von Cisco Talos:

Aktivierung von Number-Matching in MFA-Anwendungen
für eine zusätzliche Sicherheitsebene, damit User keine bösartigen MFA-Push-Benachrichtigungen akzeptieren.

Einsatz von MFA für alle kritischen Dienste
einschließlich sämtlicher Services für Fernzugriff und Identity Access Management (IAM). MFA ist die effektivste Methode zur Verhinderung von Kompromittierungen aus der Ferne. Sie verhindert auch laterale Bewegungen, wenn sie von allen administrativen BenutzerInnen eine zweite Form der Authentifizierung erfordert. 

Einrichtung einer Warnmeldung für die Ein-Faktor-Authentifizierung
um potenzielle Lücken und Änderungen in der MFA-Richtlinie schnell zu erkennen. Dies verhindert zum Beispiel, dass Angreifer eine MFA zu einer Ein-Faktor-Authentifizierung herabstufen.

Schulung der IT-Mitarbeiter
in Bezug auf Social-Engineering-Kampagnen, bei denen Angreifer zusätzliche MFA-fähige Geräte oder Konten anfordern.