sp3n - stock.adobe.com

Wie Multifaktor-Authentifizierungen angegriffen werden

Der Einsatz von Multifaktor-Authentifizierung erhöht die Sicherheit deutlich und macht es schwerer, Identitäten zu kapern. Das bedeutet nicht, dass diese nicht angegriffen werden.

Die allgegenwärtige Passwortauthentifizierung verschwindet allmählich. Aus diesem Grund wenden sich Administratoren und Endbenutzer zunehmend stärkeren Authentifizierungsarten zu, wie der Zwei-Faktor-Authentifizierung (2FA) und der Multifaktor-Authentifizierung (MFA), die allerdings auch die 2FA umfasst. MFA-Lösungen sind in der Regel stärker als Single-Faktor-Authentifizierungs-Lösungen (1FA oder SFA), beispielsweise das allgegenwärtige Duo aus Benutzername und Passwort.

Aber irgendwo auf dem Weg dorthin sind viele Menschen dazu übergegangen, MFA-Lösungen damit zu assoziieren, dass sie weitaus weniger hackbar oder sogar unknackbar sind. Nichts könnte weiter von der Wahrheit entfernt sein. Tatsächlich gibt es einfache Phishing-E-Mails, die viele beliebte MFA-Lösungen umgehen.

In den letzten Jahren wurden mehr als zwei Dutzend Möglichkeiten identifiziert, verschiedene MFA-Lösungen zu hacken. Es gibt leider keine Lösung, die nicht geknackt werden kann. Und die, die am schwersten zu knacken sind, sind in der Regel so schwerfällig, dass niemand außerhalb einer hochsicheren Regierungsbehörde sie nutzen will.

Das soll nicht heißen, dass die Verwendung von MFA-Lösungen das Risiko nicht verringert und komplett wertlos ist. Es ist wahr, dass die meisten MFA-Lösungen es schwieriger machen, die digitale Identität des Endbenutzers zu hacken. Aber viele MFA-Nutzer denken fälschlicherweise, dass sie nicht gehackt werden können oder zumindest deutlich schwieriger zu hacken sind und übermäßig anfällig für Social Engineering oder andere Hacking-Tricks zu werden. Dieser Artikel zeigt, wie es möglich ist, MFA anzugreifen und gibt Beispiele für erfolgreiche MFA-Hacks.

Grundlagen der Authentifizierung

Um zu verstehen, wie MFA gehackt werden können, hilft es zu verstehen, wie die allgemeine Computerauthentifizierung funktioniert. Die Authentifizierung ist ein Weg von Schritten, beginnend damit, dass der Betreffende (beispielsweise Endbenutzer, Gerät, Gruppe, Dienst, etc.) eine eindeutige Kombination aus Benutzernamen und E-Mail-Adresse eingibt oder eine eindeutige digitale Zeichenkette übermittelt, oft von einem Gerät aus (zum Beispiel digitales Zertifikat, öffentlicher Schlüssel etc.). Der übergebene Identifikator muss eindeutig sein (wie beispielsweise DNS, Active Directory etc.).

Der Benutzer beweist dann seine Kontrolle über die digitale Identität, indem es nachweist, dass es angeblich nur Zugang zu ihr hat. Dies geschieht typischerweise mit einem oder mehreren von drei traditionellen Authentifizierungsfaktoren:

  • Etwas, das nur sie wissen (wie ein Passwort, eine PIN oder das Verbinden einer Reihe von Punkten in der richtigen Reihenfolge).
  • Etwas, das nur sie haben (normalerweise ein Gerät eines Typs), oder
  • Etwas, das nur sie sind (beispielsweise Biometrie, wie Fingerabdruck, Netzhautabdruck oder Venenabdruck).

In letzter Zeit werden zusätzliche Faktoren, die vom Authentifizierungsprüfer bestimmt werden, wie beispielsweise die Tippgeschwindigkeit, der Anmeldestandort, die Geräte-ID und so weiter eines Benutzers als Teil der Authentifizierungssequenz verwendet, um festzustellen, ob der Benutzer eine gültige Anmeldung erfolgreich durchgeführt hat.

Ein validierter Benutzer, der die Kontrolle über die digitale Identität erfolgreich nachgewiesen hat, gilt als authentifiziert. Die authentifizierte Einheit erhält dann in der Regel ein Zugriffskontroll-Token. Dieser Token ist ein Artefakt einer erfolgreich authentifizierten Identität und wird im Wesentlichen zum „digitalen Pass“ des Benutzers, der einem Verifizierer der Zugangskontrolle vorgelegt wird, wenn er versucht, auf geschützte Ressourcen zuzugreifen (ein Prozess, der als Autorisierung bezeichnet wird).

Der Zugriffs-Token enthält alle Authentifizierungs- und Autorisierungsprozesse, die das zugrunde liegende Zugangskontrollsystem definiert hat. Der Zugriffskontroll-Token kann minimale Informationen enthalten, wie die eindeutige Kennung eines Betreffs (häufig bei Website-Cookies) oder Dutzende von Informationen, wie den Namen des Betreffs, Gruppenmitgliedschaften, Berechtigungen und Privilegien (wie sie in einem Microsoft Windows-Token enthalten sind).

In beiden Fällen kann jeder oder jede Person, die den Zugriffskontroll-Token während seiner gültigen Lebensdauer erfolgreich erhalten hat, genauso verwenden wie der legitime Eigentümer. Jede Person oder jeder Prozess, der Zugang zu dem Zugriffstoken eines anderen erhält, wird oft vom Berechtigungssystem als legitimer Eigentümer behandelt.

Häufige MFA-Schwächen

Es ist auch wichtig zu wissen, dass das resultierende Token-Format und der Token-Typ der Zugriffskontrolle in der Regel für alle Authentifizierungsmethoden identisch sind, unabhängig davon, wie die Authentifizierung eines Benutzers erfolgreich validiert wurde. Unabhängig davon, wie sich der Benutzer beispielsweise bei einer Website (beispielsweise 1FA, 2FA oder MFA) authentifiziert, ist das resultierende Zutrittskontroll-Token fast immer eine einfache Klartextdatei, bekannt als Cookie. Dieser Cookie ist gleich, unabhängig davon, ob sich der Benutzer mit einer Kombination aus Benutzername und Passwort, einem Fingerabdruck-Scan oder einer anderen von einer Website akzeptierten Authentifizierungsmethode angemeldet hat.

Es mag überraschen, dass das Gleiche für Microsoft Windows gilt. Unabhängig davon, wie sich ein Betreff bei einem Windows-Computer authentifiziert hat, wird das resultierende Zugriffskontroll-Token durch ein Kerberos-Ticket oder NTLM- (oder LM) -Token dargestellt. Viele Benutzer glauben fälschlicherweise, dass, wenn sie sich mit einer Smartcard oder einem Fingerabdruck authentifiziert haben, Windows (und/oder Active Directory) das digitale Smartcard-Zertifikat (auch bekannt als privater Schlüssel) oder den Fingerabdruck-Scan des Benutzers an alle anderen beteiligten Komponenten sendet, die nach Authentifizierung und Autorisierung fragen. Das passiert jedoch nicht.

Stattdessen wird nach der erfolgreichen Authentifizierung die digitale Identität des Betreffenden mit dem gleichen Ticket- oder Token-Typ versehen, und dieser Zutrittskontroll-Token ist es, der an zukünftigen Autorisierungsereignissen teilnimmt. Es ist oft diese Trennung zwischen der Art der verwendeten Authentifizierung und dem daraus resultierenden Zugriffskontroll-Token, die zu vielen Hacks führt.

Hacken von Multifaktor-Authentifizierung

Hacken von MFA kann mit einer von drei allgemeinen Methoden durchgeführt werden, wobei die meisten Angreifer eine Kombination von zwei oder mehr verwenden:

  • Technologisch (gegen die zugrunde liegende Technologie)
  • Sozialtechnisch (Social Engineering)
  • Physisch (beispielsweise Diebstahl oder Vervielfältigung eines Fingerabdrucks)

Viele MFA-Anbieter glauben fälschlicherweise, dass, wenn ihre Lösung auf nicht-technische Weise, beispielsweise durch Social Engineering, kompromittiert wurde, ihre Lösung nicht schuld ist. Das Problem mit dieser Denkweise ist, dass Hacking nicht in einem Vakuum in einem Labor stattfindet, in dem raffinierte Hacker nicht in der Lage sind, zu arbeiten. In den meisten Fällen kümmert sich der Endbenutzer nur darum, dass er sich auf die MFA-Lösung des Anbieters verlassen hat, um ihm mehr Vertrauen in seine Authentifizierung zu geben.

Nachfolgend einmal sind fünf Beispiele für einige interessante MFA-Exploits aufgeführt.

Man-in-the-Middle-Cookie-Diebstahl

Dies ist seit Jahrzehnten einer der beliebtesten MFA-Exploits. Bei einem MitM-Cookie-Diebstahl (Man-in-the-Middle) wird einem Benutzer eine betrügerische Phishing-E-Mail zugesandt, die einen Website-Dienst simuliert, den der Benutzer nutzt. Die Phishing-E-Mail enthält in der Regel einen Look-a-like-URL-Link, auf die der Benutzer klickt, um auf den seiner Meinung nach normalen und legitimen Webseitendienst zuzugreifen.

Stattdessen leitet der betrügerische URL-Link den Benutzer zu einer gefälschten Website weiter, auf der er sich befindet. Über die echte Website erfasst die gefälschte Website die Informationen in einem MitM-Angriff und leitet die Anmeldeinformationen der richtigen Website und die Anmeldungsantworten des Benutzers hin und her, um kritische Informationen zu erfassen.

Nachdem sich der Benutzer erfolgreich angemeldet hat, stiehlt der Angriff das resultierende Zugriffskontroll-Token des Benutzers. Der Angreifer verwendet dann das Zugriffskontroll-Token erneut, um die aktuelle Sitzung des Benutzers zu übernehmen. Sie ändern dann in der Regel die Anmelde- und Kontaktinformationen der Person, um es für den legitimen Benutzer schwieriger zu machen, wieder Zugang zu ihrem gestohlenen Konto zu erhalten. Dieser Angriff funktioniert unabhängig davon, ob der Benutzer einen traditionellen Anmeldenamen/Passwort oder mehrere MFA-Methoden verwendet.

Die meisten Menschen, die diesen Angriff zum ersten Mal sehen, sind erstaunt und verstehen meist sehr schnell, wie einfach es ist, vermeintlich sicherere MFA-Lösungen zu hacken oder zu umgehen. Dieses MFA-Hacking-Beispiel ist eine der häufigsten Exploit-Methoden.

Benutzer-Hijacking

Jede MFA-Lösung ist an eine Benutzerkennzeichnung gebunden. In einigen MFA-Lösungen kann der Angreifer, wenn er die Identitätskennzeichnung eines Benutzers ändern kann, das zugehörige Konto oder die zugehörigen Berechtigungen dieses Nutzers übernehmen. Im folgenden Beispiel ändert ein vertrauenswürdiger, aber niedrigprivilegierter Helpdesk-Benutzer den Active-Directory-Benutzernamen (UPN, UserPrincipalName) eines hochprivilegierten Superadministrators in seinen eigenen UPN.

Wenn sich der niedrigprivilegierte Benutzer dann mit seiner eigenen Smartcard und PIN anmeldet, ordnet Windows und Active Directory ihm das Konto und die Berechtigungen des Superadministrators zu. Alle Aktionen, die der Helpdesk-Benutzer durchführt, werden so verfolgt, als wären sie der echte, legitime Superadministrator. Wenn der Helpdesk-Benutzer fertig ist, muss er lediglich die UPN des Superadministrators wieder auf das ursprüngliche Label zurücksetzen. Wenn die Umgebung keine UPN-Änderungen verfolgt und warnt (und ich habe noch nie eine gesehen, die dies tut), dann wird dieser Angriff auf die Privilegien-Erweiterung unbemerkt bleiben.

In diesem Beispiel eines MFA-Angriffs erforderte der Exploit einen zuvor niedrigprivilegierten Insider. Es ist nur ein Beispiel dafür, wie die Entführung des Identifikator-Labels eines Benutzers leicht zu einem Missbrauch führen kann. Andere Arten von MFA-Lösungen sind ebenso anfällig. Diese MFA-Lösungen sind nicht unbedingt schuld. Es ist kein traditioneller Bug. Was dieser Angriffstyp zeigt, ist, dass Benutzer-Identitätslabel kritische Informationen sind und als solche behandelt werden sollten. Die meisten von uns wissen, wie man Passwörter und andere Anmeldeinformationen hochgradig schützt, aber wir sollten auch Änderungen an allen für den Anmeldeprozess kritischen Informationen schützen, überwachen und warnen.

SIM-Austausch

Die in einer SIM-Karte enthaltenen Informationen identifizieren das Telefon im Netzwerk des Mobilfunkanbieters anhand von Telefonnummer, Geräte-ID und anderen Informationen. Eine SIM-Karte kann manchmal sogar als zusätzlicher Speicherplatz für Anwendungen und Daten genutzt werden. Eine SIM-Karte macht das Mobiltelefon im Wesentlichen zum Gerät des Benutzers. Traditionell wurden die SIM-Informationen auf einer physischen Speicherkarte gespeichert, werden aber oft „virtuell“ als digitale Informationen in einem geschützten Bereich des Speichers des Mobiltelefons gesichert.

Wenn ein Benutzer die gleiche Telefonnummer und den gleichen Anbieter beibehalten möchte, wenn das Mobiltelefon ersetzt oder aktualisiert werden muss, muss die SIM-Karte physisch vom alten auf das neue Telefon übertragen werden, oder der Mobilfunkanbieter muss die Informationen vom alten auf das neues Telefon übertragen. In jedem Fall akzeptiert das alte Telefon nach der Übertragung der SIM-Informationen und der Aktivierung des neuen Telefons keine Anrufe oder SMS-Nachrichten (Short Messaging Service) mehr an die jetzt übertragene Telefonnummer. Das alte Telefon bleibt eingeschaltet, klingelt aber nicht für neue Anrufe, erlaubt ausgehende Anrufe (außer für Notfälle) oder akzeptiert oder sendet neue SMS-Nachrichten.

Viele, wenn nicht die meisten der MFA-Lösungen, die an die beliebtesten Websites gebunden sind, verlassen sich auf Codes, die als zweiter Faktor an das Mobiltelefon eines Benutzers in einer SMS-Nachricht gesendet werden, die der Benutzer dann wieder in eine Browsersitzung eingibt, um seine Anmeldung abzuschließen, eine alternative Methode zur Wiederherstellung der Anmeldung zu bestätigen, um eine bestimmte Transaktion oder ein anderes MFA-Ereignis zu überprüfen.

Hacker stehlen oder übertragen oft böswillig die SIM-Informationen eines Benutzers auf ein in ihrem Besitz befindliches Mobiltelefon und nutzen dann die Vorteile der SMS-basierten MFA-Anmeldungen des Benutzers. Dies wird in der Regel dadurch erreicht, dass der Angreifer dem Benutzer zuerst eine betrügerische E-Mail-Phishing sendet, die vorgibt, vom Mobilfunkanbieter des Benutzers zu stammen. Sie werden nach Informationen gefragt, die vom Angreifer verwendet werden können, um die gestohlene Identität gegenüber dem technischen Support der Mobilfunkfirma zu überprüfen, bevor sie die SIM-Informationen des Opfers auf das Mobiltelefon des Angreifers übertragen lassen. Oder die Angreifer haben einen Insider, der an der Straftat beteiligt ist und für den Mobilfunkanbieter arbeitet.

Sobald der Angreifer die SIM-Informationen des Opfers erfolgreich auf das eigene Telefon übertragen hat, initiiert er eine SMS-basierte MFA-Anmeldung, die sich auf das Opfer bezieht. Die angewählte Website oder Dienstleistung, die die SMS-basierte MFA-Anmeldung verwendet, hat keine Möglichkeit zu wissen, welches Telefon das legitime ist oder nicht und sendet den SMS-basierten Code an das Telefon des Angreifers. Der Angreifer meldet sich dann mit dem SMS-basierten Code am Konto des Opfers an und übernimmt die Kontrolle darüber. Dies ist tausendfach geschehen und hat zu zig bis hundert Millionen Dollar an gestohlenen Geldern geführt.

Der böswillige Missbrauch von SMS-basierten MFA-Anmeldungen hat sich so weit verbreitet, dass die U.S. National Institution of Standards and Technology erklärt hat, dass SMS-basierte MFA-Anmeldungen nicht zur Authentifizierung in ihren neuesten Authentifizierungsanforderungen verwendet werden, den Digital Identity Guidelines, auch bekannt als NIST Special Publication 800-63-3.

Gefälschte SMS-Wiederherstellungsnachrichten

Der Missbrauch von SMS-basierten MFA-Lösungen kann viel einfacher durchgeführt werden als die böswillige Übertragung von SIMs. Ein Angreifer, der nur die E-Mail-Adresse und Telefonnummer eines Benutzers kennt, kann eine betrügerische SMS-Nachricht versenden, die vorgibt, der Dienstanbieter eines Benutzers zu sein und ihn „proaktiv über ein mögliches Cybersicherheitsereignis informiert“. Sie bitten den Benutzer dann, einen vom Anbieter gesendeten Code in einer anderen SMS-Nachricht zurückzusenden.

In Wirklichkeit sendet der Angreifer die Anmeldung des Benutzers beim legitimen Dienstanbieter in den Wiederherstellungsmodus und fordert den Anbieter auf, einen Wiederherstellungscode per SMS zu senden. Das Opfer erhält den SMS-gesendeten Wiederherstellungscode vom legitimen Anbieter als Reaktion auf die ursprüngliche Nachricht des Angreifers, mit der der Angreifer dann die Anmeldeinformationen des Opfers zurücksetzt und das Konto übernimmt. Die Benutzer sollten darauf hingewiesen werden, dass in der Regel SMS-basierte Codes, die von einem legitimen Anbieter gesendet werden, wieder in das webbasierte Portal des Anbieters eingegeben werden sollen und nicht wieder als Reaktion auf eine andere, separate SMS-Nachricht.

Roger A. Grimes, KnowBe4

„Die Diskussion darüber, wie Multifaktor-Authentifizierungen gehackt werden können, bedeutet jedoch nicht, dass Administratoren und Endbenutzer nicht danach streben sollten, sichere MFA-Lösungen zu verwenden.“

Roger A. Grimes, KnowBe4

Die Lösung für missbräuchliche SMS-basierte MFA-Lösungen ist es, zu vermeiden, sich auf sie zu verlassen, wenn dies möglich ist. Dies kann schwierig bis unmöglich sein, da SMS-basierte MFA-Lösungen zu den beliebtesten MFA-Lösungen im Internet gehören, und oft kann man nicht mit einer Website oder einem Dienst interagieren, ohne eine SMS-basierte MFA-Lösung zu akzeptieren. Die Wahl, ob eine SMS-basierte MFA-Lösung eingesetzt werden soll, liegt in der Regel nicht beim Endverbraucher. Viele beliebte Dienste, wie die von Google und Microsoft, ermöglichen es dem Endanwender nun, andere, nicht SMS-basierte MFA-Lösungen auszuwählen.

Duplikat-Code-Generatoren

Heute ist einer der sichersten und vertrauenswürdigsten MFA-Lösungsarten eine Hardware, Software oder mobile Anwendung, die nach einem zeitbasierten Einmalpasswort (TOTP, Time-based One-Time Password) fragt. Wenn diese Vorrichtungen oder Softwareprogramme erzeugt und/oder an den Benutzer weitergegeben werden, wird ein zufällig generierter Wert, genannt Seed-Wert, erzeugt und in einer Authentifizierungsdatenbank gespeichert.

Dieser Seed-Wert wird zusammen mit einem TOTP-Algorithmus und anderen Informationen (er enthält in der Regel die eindeutige Kennung des Geräts oder der Softwareanwendung) verwendet, um zukünftige MFA-Codes basierend auf der Zeit zu generieren. Der Reiz besteht darin, dass der an den Benutzer gesendete Code sowohl für den Benutzer als auch für die Zeit eindeutig ist. Und nach einer bestimmten Zeitspanne, beispielsweise 30 Sekunden bis 10 Minuten, wird der Code neu generiert. Der Benutzer gibt den zeitabhängigen Code bei der zugehörigen MFA-basierten Anmeldung ein.

Wenn Sie diese Art von TOTP-Mechanismen verwenden, erscheinen sie sehr sicher. Und das sind sie auch. Wenn ein Angreifer jedoch Zugriff auf die zugrundeliegende Authentifizierungsdatenbank erhält und den Seed-Wert und andere Informationen liest, die zur Generierung des TOTP-Codes benötigt werden, wenn der Algorithmus bekannt ist (und das ist er oft), dann kann er ein virtuelles Gerät erstellen, das die Hardware- oder Software-TOTP-Lösung des Opfers imitiert. Dies geschah in realen, anspruchsvollen Cyberangriffen.

So ist beispielsweise ein Duplikat-Code-Generator für einige Versionen der SecurID TOTP-Geräte von RSA seit mindestens Ende der 90er Jahre in einem Freeware-Hackerprogramm enthalten. Dieses Programm wurde seit 2014 nicht mehr aktualisiert und unterstützt die meisten RSA-Hardware-TOTP-Geräte nicht mehr, aber es ist eine Darstellung, wie Duplikat-Code-Generatoren funktionieren.

Fazit

Die Diskussion darüber, wie Multifaktor-Authentifizierungen gehackt werden können, bedeutet jedoch nicht, dass Administratoren und Endbenutzer nicht danach streben sollten, sichere MFA-Lösungen zu verwenden. Genauso wichtig für die Nutzung von MFA ist es jedoch, die Administration und die Endnutzer über ihre Stärken und Schwächen zu informieren.

Die Aufklärung, dass MFA gehackt werden kann und zu einem Identitätsdiebstahl führt, ist ebenso wichtig wie die Anregung der Endbenutzer, MFA-Angebote zu nutzen. MFA-Nutzer müssen sich darüber im Klaren sein, dass MFA gehackt werden kann, wie und wonach sie Ausschau halten müssen. Das ist nichts Neues. Es geht meist um Schulungen zum Thema Sicherheitsbewusstsein, unabhängig davon, wie sich die Welt der Authentifizierung verändert und verbessert.

Über den Autor:
Roger A. Grimes ist Data-Driven Defense Evangelist bei KnowBe4.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.

Nächste Schritte

Warum Kontinuität bei der Authentifizierung wichtig ist

Den Anwender als Sicherheitsfaktor nutzen

Multifaktor-Authentifizierung: Beispiele und Anwendungsfälle

Erfahren Sie mehr über Identity and Access Management (IAM)