wladimir1804 - stock.adobe.com
Multifaktor-Authentifizierung und die Angriffswege
Die Absicherung per Multifaktor-Authentifizierung ist ein guter Ansatz, um die Sicherheit zu erhöhen. Fehler bei der Implementierung können allerdings für Probleme sorgen.
Zweifelsohne ist es eine gute Idee im Unternehmen, wo immer möglich, eine Multifaktor-Authentifizierung einzurichten, um die Sicherheit zu verbessern. Das gilt nicht nur im Zusammenhang mit sich verändernden Arbeitsmodellen, sondern auch für Zugänge mit besonderen Berechtigungen – etwa Administratorkonten. Allerdings garantiert allein die Einrichtung der Multifaktor-Authentifizierung noch nicht die gewünschte Sicherheit. Falsch konzipierte oder implementierte MFA-Kontrollen können Angreifer unter Umständen nicht von einem unerlaubten Zugriff abhalten. Bei CyberArk hat man vier Szenarien ausgemacht, wie die Multifaktor-Authentifizierung umgangen werden kann.
Angriffsvektoren für die Multifaktor-Authentifizierung
Architektur- und Designfehler würden unter anderem für Probleme bei der Zugriffssicherheit sorgen. So würden viele Unternehmen Single Sign-On (SSO) in Kombination mit Multifaktor-Authentifizierung einsetzen. Damit soll das Risiko des Diebstahls der Zugangsdaten verringert wurden. Im Zuge einer Angriffssimulation habe man gesehen, dass ein Unternehmen einen MFA-Anbieter nutzte, um den VPN-Zugang zu sichern. Wenn ein Anwender aus der Ferne mit dem VPN verbunden war, kann er mittels SSO auf verschiedene Cloud-Dienste zugreifen. Die Tests hätten allerdings ergeben, dass Anwender, die sich von einer vertrauenswürdigen IP-Adresse innerhalb des VPN-Bereichs anmeldeten, nur nach ihren Domain-Anmeldeinformationen gefragt wurden, bevor ihnen Zugriff auf einen Cloud-Dienst gewährt wurde.
Dies zeige, dass die Multifaktor-Authentifizierung nur für den infrastrukturbasierten Zugriff angewendet wurde, nicht für die individuellen Benutzeridentitäten. Und diese könnten auf kritische Informationen zugreifen. Das Unternehmen sei damit anfällig für einen Ein-Faktor-Angriff.
Browser-Cookies zu den beliebtesten Angriffszielen gehören. Diese werden nach der Authentifizierung des Anwenders im Browser gespeichert. Dies geschieht, damit sich der Nutzer nicht jedes Mal nach dem Schließen des Browsers neu in der Anwendung anmelden muss.
Der Verschlüsselung der Cookies erfolgt unter Windows über die kryptografische Schnittstelle DPAPI (Data Protection Application Programming Interface). DPAPI ermöglicht dem Nutzer einen einzigen API-Aufruf, um ein BLOB (Binary Large Object) zu verschlüsseln oder entschlüsseln, ohne dass dafür lokale Administratorrechte erforderlich sind. In jeder Domain-Umgebung existiere ein Domain-weiter Backup-Schlüssel. Mit diesem kann jeder DPAPI-verschlüsselte BLOB dort entschlüsselt werden. Laut CyberArk sei es nun möglich, die Browser-Cookies und Passwörter der Anwender unter Verwendung ihre eigenen Zugangsdaten durch den Aufruf einer einfachen Windows-API zu entschlüsseln. Und durch die Zugriffsmöglichkeit auf den Domain-Schlüssel könne ein Angriff aus der Ferne auf alle Benutzer und Rechner in einer Domäne ausgeweitet werden.
Multifaktor-Authentifizierung umgehen
Darüber hinaus würden es Unternehmen häufig unterlassen, die sekundären Kanäle zu sichern, wenn auf kritische Ressourcen über mehrere Kanäle zugegriffen werden kann. So würden viele Unternehmen Multifaktor-Authentifizierung nutzen, um auf kritischer Server via RDP (Remote Desktop Protocol) zugreifen zu können. Sobald sich ein privilegierter Anwender bei RDP bei einem Server anmeldet, ruft das Windows-Betriebssystem eine MFA-Anwendung auf, um den Anmeldeversuch zu verifizieren. Selbst wenn, ein Angreifer den Benutzernamen und das Passwort des Admins kennt, kann er so nicht via RDP auf den Server zugreifen. Dabei werden nach Ansicht von CyberArk häufig übersehen, dass RDP nur eine unter vielen Zugriffsvarianten sei. So seien in Active-Directory-Umgebungen die Remote-Management-Ports standardmäßig aktiviert. Und auf anderen Protokolle wie SMB (Server Message Block) und RPC (Remote Procedure Call) könne mit klassischen Microsoft-Werkzeugen wie PowerShell oder PsExec zugegriffen werden. Und diese Protokolle seien häufig nicht über eine 2-Faktor-Authentifizierung abgesichert, da die meisten MFA-Lösungen nicht-interaktive Kommunikation nicht abdecken. Daher könne ein Angreifer, der im Besitz der Zugangsdaten ist, dennoch Zugriff auf den Server erlangen.
Einen weiteren Angriffsvektor habe man bei einem unsicheren Token-Onboarding-Prozess ausgemacht. So erhielten in dem Beispiel, neue Nutzer per Mail eine URL, die sie anklicken mussten, um das MFA-Soft-Token ihres Telefons mit ihrer Benutzeridentität auf dem MFA-Server zu verknüpfen. In diesem Link war auch der kryptografische Seed des MFA-Tokens des Anwenders enthalten. Will heißen, die primären kryptografischen Schlüssel, die zu Generierung des Tokens verwendet wurden. Dieser Seed war durch einen PIN-Code geschützt. Mit dem Zugriff auf die E-Mails habe man Zugriff auf die kryptografischen Seeds und habe nur noch den PIN-Code und den Zeitstempel benötigt, um doppelte MFA-Token zu erstellen. Damit ließen sich eigene OTP-Codes (One Time Password, Einmalpasswort) im Namen der Benutzer generieren. Die einzelnen Seeds waren durch vierstellige Codes geschützt, die innerhalb kürzester geknackt werden konnten. Dadurch war es CyberArk möglich, den MFA-Token jeden Benutzers nach Belieben zu replizieren.
„Ohne Zweifel ist MFA eine wesentliche Sicherheitsmaßnahme. Wie bei jeder Sicherheitslösung kommt es aber auf das richtige Design und die richtige Implementierung an“, so Christian Götz von CyberArk. „Vor allem aber muss MFA immer auch im Kontext einer ganzheitlichen, mehrschichtigen Identity-Security- und Zero-Trust-Strategie gesehen werden.“