Lapsus$ und die Gruppe, die hinter dem SolarWinds-Hack steckt, haben in den letzten Monaten Prompt-Bombing eingesetzt, um schwächere MFA-Schutzmechanismen zu umgehen.
MULTIFAKTOR-AUTHENTIFIZIERUNG (MFA) ist ein zentraler Schutz, der zu den wirksamsten Maßnahmen zur Verhinderung von Kontoübernahmen gehört. Zusätzlich zu der Anforderung, dass die Nutzer einen Benutzernamen und PasswortMFA stellt sicher, dass sie einen zusätzlichen Faktor verwenden müssen - sei es ein Fingerabdruck, ein physischer Sicherheitsschlüssel oder ein Einmalpasswort -, bevor sie auf ein Konto zugreifen können. Dieser Artikel sollte nicht so verstanden werden, dass MFA nicht etwas anderes als wesentlich ist.
Ars Technica
Dieser Artikel erschien ursprünglich auf Ars TechnicaArs ist eine vertrauenswürdige Quelle für Technologie-Nachrichten, Analysen zur Technologiepolitik, Rezensionen und mehr. Ars gehört zur Muttergesellschaft von WIRED, Condé Nast.
Allerdings sind einige Formen der MFA stärker als andere, und die jüngsten Ereignisse zeigen, dass diese schwächeren Formen für einige Hacker keine große Hürde darstellen. In den letzten Monaten haben mutmaßliche Script-Kiddies wie die Lapsus$ Datenerpresserbande und elitäre russisch-staatliche Bedrohungsakteure (wie Cozy Bear, die Gruppe hinter dem SolarWinds-Hack) haben beide den Schutz erfolgreich überwunden.
MFA Prompt Bombing eingeben
Die stärksten Formen der MFA beruhen auf einem Rahmenwerk namens FIDO2das von einem Konsortium von Unternehmen entwickelt wurde, um Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen. Die Nutzer haben die Möglichkeit, mit Hilfe von Fingerabdrucklesern oder Kameras in ihren Geräten oder mit speziellen Sicherheitsschlüsseln zu bestätigen, dass sie zum Zugriff auf ein Konto berechtigt sind. Die FIDO2-Formen der MFA sind relativ neuViele Dienste sowohl für Verbraucher als auch für große Unternehmen haben sie noch nicht eingeführt.
Hier kommen die älteren, schwächeren Formen der MFA ins Spiel. Dazu gehören Einmalpasswörter, die per SMS verschickt oder von mobilen Apps wie Google Authenticator generiert werden, oder Push-Aufforderungen, die an ein mobiles Gerät gesendet werden. Wenn sich jemand mit einem gültigen Kennwort anmeldet, muss er außerdem entweder das Einmalkennwort in ein Feld auf dem Anmeldebildschirm eingeben oder eine Taste auf dem Bildschirm seines Telefons drücken.
Gerade diese letzte Form der Authentifizierung wird jüngsten Berichten zufolge umgangen. Eine Gruppe nutzt diese Technik, gemäß Der Sicherheitsfirma Mandiant zufolge handelt es sich bei Cozy Bear um eine Gruppe von Elite-Hackern, die für den russischen Auslandsgeheimdienst arbeiten. Die Gruppe ist auch unter den Namen Nobelium, APT29 und The Dukes bekannt.
"Viele MFA-Anbieter ermöglichen es Benutzern, eine Push-Benachrichtigung einer Telefon-App zu akzeptieren oder einen Telefonanruf zu erhalten und eine Taste als zweiten Faktor zu drücken", schrieben die Forscher von Mandiant. "Der [Nobelium]-Bedrohungsakteur nutzte dies aus und stellte mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptierte, so dass der Bedrohungsakteur schließlich Zugriff auf das Konto erhielt.
ANZEIGE
Lapsus$eine Hackergruppe, die in das System eingedrungen ist. Microsoft, Oktaund Nvidia hat in den letzten Monaten ebenfalls auf diese Technik zurückgegriffen.
"Es gibt kein Limit für die Anzahl der Anrufe", schrieb ein Mitglied von Lapsus$ im offiziellen Telegram-Kanal der Gruppe. "Rufen Sie den Mitarbeiter 100 Mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird es höchstwahrscheinlich annehmen. Sobald der Mitarbeiter den ersten Anruf annimmt, können Sie auf das MFA-Registrierungsportal zugreifen und ein weiteres Gerät registrieren."
Das Lapsus$-Mitglied behauptete, dass die MFA-Prompt-Bombing-Technik gegen Microsoft wirksam war, das Anfang der Woche erklärte, dass die Hackergruppe in der Lage war, auf den Laptop eines seiner Mitarbeiter zuzugreifen.
"Sogar Microsoft!", schrieb die Person. "Ich konnte mich von Deutschland und den USA aus gleichzeitig in das Microsoft-VPN eines Mitarbeiters einloggen, ohne dass sie es zu bemerken schienen. Außerdem konnte ich MFA zweimal neu registrieren."
Mike Grover, ein Verkäufer von Red-Team-Hacking-Tools für Sicherheitsexperten und ein Red-Team-Berater, der unter dem Twitter-Namen _MG_erklärte gegenüber Ars, dass es sich bei der Technik "im Grunde um eine einzige Methode handelt, die viele Formen annimmt: den Benutzer auszutricksen, um eine MFA-Anfrage zu bestätigen. MFA Bombing' ist schnell zu einer Beschreibung geworden, aber das verpasst die heimlicheren Methoden".
Die Methoden umfassen:
- Senden Sie eine Reihe von MFA-Anfragen und hoffen Sie, dass die Zielperson eine davon annimmt, damit der Lärm aufhört.
- Senden von ein oder zwei Aufforderungen pro Tag. Diese Methode erregt oft weniger Aufmerksamkeit, aber "es besteht immer noch eine gute Chance, dass die Zielperson die MFA-Anfrage akzeptiert".
- Sie rufen die Zielperson an, geben sich als Mitarbeiter des Unternehmens aus und teilen ihr mit, dass sie eine MFA-Anfrage im Rahmen eines Unternehmensprozesses senden müssen.
"Das sind nur ein paar Beispiele", sagte Grover, aber es ist wichtig zu wissen, dass Massenbombardements nicht die einzige Form sind, in der dies geschieht.
In einem Twitter-Threadschrieb er: "Rote Teams spielen schon seit Jahren mit Varianten davon. Es hat Unternehmen geholfen, die das Glück hatten, ein rotes Team zu haben. Aber in der realen Welt machen die Angreifer schneller Fortschritte, als sich die kollektive Haltung der meisten Unternehmen verbessert hat."
Andere Forscher wiesen darauf hin, dass die MFA-Aufforderungstechnik nicht neu ist.
"Lapsus$ hat das 'MFA Prompt Bombing' nicht erfunden", sagt Greg Linares, ein Profi aus dem roten Team, getwittert. "Bitte hören Sie auf, sie ... als Erfinder zu bezeichnen. Dieser Angriffsvektor wurde in der realen Welt bereits 2 Jahre vor der Einführung von Lapsus verwendet."
Guter Junge, FIDO
Wie bereits erwähnt, sind die FIDO2-Formen der MFA nicht anfällig für diese Technik, da sie an das physische Gerät gebunden sind, mit dem sich jemand bei einer Website anmeldet. Mit anderen Worten: Die Authentifizierung muss auf dem Gerät durchgeführt werden, das sich anmeldet. Sie kann nicht auf einem Gerät erfolgen, um einem anderen Gerät Zugang zu gewähren.
Das bedeutet jedoch nicht, dass Organisationen, die FIDO2-konforme MFA verwenden, nicht anfällig für prompte Angriffe sind. Es ist unvermeidlich, dass ein gewisser Prozentsatz der Personen, die bei diesen Formen der MFA angemeldet sind, ihren Schlüssel verlieren, ihr iPhone in die Toilette fallen lassen oder den Fingerabdruckleser an ihrem Laptop kaputt machen.
Unternehmen müssen für diese unvermeidbaren Ereignisse vorgesorgt haben. Viele werden auf anfälligere Formen der MFA zurückgreifen, falls ein Mitarbeiter den Schlüssel oder das Gerät, das zum Senden des zusätzlichen Faktors erforderlich ist, verliert. In anderen Fällen kann der Hacker einen IT-Administrator dazu bringen, die MFA zurückzusetzen und ein neues Gerät anzumelden. In wieder anderen Fällen ist die FIDO2-konforme MFA nur eine Option, aber weniger sichere Formen sind weiterhin erlaubt.
"Reset/Backup-Mechanismen sind für Angreifer immer sehr interessant", so Grover.
In anderen Fällen verlassen sich Unternehmen, die FIDO2-konforme MFA verwenden, auf Dritte, um ihr Netzwerk zu verwalten oder andere wichtige Funktionen auszuführen. Wenn die Mitarbeiter von Drittanbietern mit schwächeren Formen der MFA auf das Netzwerk des Unternehmens zugreifen können, macht dies den Nutzen der stärkeren Formen weitgehend zunichte.
Selbst wenn Unternehmen FIDO2-basierte MFA überall einsetzen, ist Nobelium in der Lage den Schutz zu überwinden. Diese Umgehung war jedoch nur möglich, nachdem die Hacker das Active Directory des Ziels vollständig kompromittiert hatten. Dabei handelt es sich um ein stark befestigtes Datenbank-Tool, mit dem Netzwerkadministratoren Benutzerkonten erstellen, löschen oder ändern und ihnen Zugriffsrechte auf autorisierte Ressourcen zuweisen können. Diese Umgehung würde den Rahmen dieses Beitrags sprengen, denn sobald ein AD gehackt wurde, ist das Spiel so gut wie vorbei.
Nochmals, jede Form der MFA ist besser als keine MFA. Wenn per SMS zugestellte Einmal-Passwörter alles sind, was zur Verfügung steht - so fehlerhaft und geschmacklos sie auch sein mögen -, ist das System immer noch unendlich viel besser als eine keine MFA. Mit diesem Beitrag soll nicht gesagt werden, dass MFA den Aufwand nicht wert ist.
Aber es ist klar, dass MFA allein nicht ausreicht und kaum ein Kästchen darstellt, das Unternehmen ankreuzen können, um damit fertig zu werden. Als Cozy Bear diese Schlupflöcher fand, war niemand sonderlich überrascht, denn die Gruppe verfügte über unbegrenzte Ressourcen und erstklassige Fachkenntnisse. Jetzt, da Teenager dieselben Techniken anwenden, um in so mächtige Unternehmen wie Nvidia, Okta und Microsoft einzubrechen, wird den Menschen allmählich bewusst, wie wichtig es ist, MFA richtig einzusetzen.
"Es mag zwar verlockend sein, LAPSUS$ als unreife und nach Ruhm strebende Gruppe abzutun", so der Reporter Brian Krebs von KrebsOnSecurity schrieb letzte WocheIhre Taktik sollte jeden, der für die Sicherheit in Unternehmen verantwortlich ist, aufhorchen lassen.
Die Bombardierung mit MFA-Eingabeaufforderungen ist zwar nicht neu, aber die Unternehmen können sie nicht mehr ignorieren.
Dieser Artikel erschien ursprünglich auf Ars Technica.
Weitere großartige WIRED-Geschichten
- 📩 Das Neueste über Technik, Wissenschaft und mehr: Erhalten Sie unsere Newsletter!
- Es ist wie GPT-3 aber für Code-Spaß, schnell und voller Fehler
- Sie (und der Planet) brauchen wirklich eine Wärmepumpe
- Kann ein Online-Kurs helfen Große Technik seine Seele finden?
- iPod-Modder dem Musikplayer neues Leben einhauchen
- NFTs funktionieren nicht so wie Sie es vielleicht denken
- 👁️ Erforschen Sie KI wie nie zuvor mit unsere neue Datenbank
- 🏃🏽♀️ Du willst die besten Geräte, um gesund zu werden? Sehen Sie sich die Auswahl unseres Gear-Teams für die beste Fitness-Tracker, Fahrwerk (einschließlich Schuhe und Socken), und beste Kopfhörer
https://www.wired.com/story/multifactor-authentication-prompt-bombing-on-the-rise/?utm_social-type=owned&utm_medium=social&utm_brand=wired&mbid=social_linkedin&utm_campaign=wired&utm_source=linkedin
