B52-Faktor-Authentifizierung
Mehrere Faktoren zur Anmeldung zu fordern, ist eine gute Sache. Doch auch solche Verfahren sind nicht unfehlbar und lassen sich überwinden oder aushebeln. Auch für einen sicheren Einsatz von Push-basierten Authentifizierungsmechanismen bedarf es daher einiger Aufmerksamkeit und begleitender Maßnahmen, mahnt unser Autor.
Wie MFA-Prompt-Bombing Multi-Faktor-Authentifizierung bedroht und was man dagegen tun kann
Jedes Unternehmen sollte heute Multi-Faktor-Authentifizierung (MFA) einsetzen, um wertvolle Daten und Webseiten zu schützen. Auch MFA stoppt zwar längst nicht alle Attacken, sondern vielleicht „nur“ 20–40 % aller Angriffsversuche, aber dieser Prozentsatz ist groß genug, dass jeder die damit verbundene zusätzliche Sicherheit nutzen sollte, wann und wo er kann. Man denke nur an erfolgreiche Phishing-Attacken, durch die Kriminelle Nutzer-Passwörter ergattern – bei MFA reicht das aber eben noch nicht aus, um auch Zugang zu betroffenen Diensten zu erlangen.
MFA-Anmeldungen erfordern schließlich, dass ein Benutzer zwei oder mehr Authentifizierungs-„Faktoren“ angeben, um einen Zugriff zu legitimieren oder sich anzumelden. In der Regel handelt es sich dabei um Passwort und/oder PIN-Code in Verbindung mit Daten aus einem Token, einer Smartcard oder App oder der Freigabe durch biometrische Merkmale, wie Fingerabdruck- oder Gesichtserkennung. Die derzeit beliebtesten MFA-Formen nutzen Smartphone-Apps wie den Google oder Microsoft Authenticator, externe USB-Geräte wie YubiKeys, drahtlose Geräte wie Googles Titan-Schlüssel, drahtlose Smartcards oder Biometrie, beispielsweise per Fingerabdruckerkennung auf dem Smartphone.
Wie jeder Sicherheitsmechanismus kann allerdings auch eine MFA selbst „gehackt“ oder umgangen werden. Es gibt keine unknackbare MFA-Lösung, aber einige Arten sind widerstandsfähiger als andere: Leider sind viele MFA-Verfahren wie SMS-, sprach- oder auf Telefonnummern basierende Mechanismen sowie Einmal-Passwort-Codes leicht zu fälschen. Sie können relativ leicht umgangen oder ihre MFA-Geheimnisse gestohlen und/oder per Man-in-the-Middle-(MITM)-Attacken durchgereicht werden.
Push-basierte MFA
Eine weitere MFA-Lösung ist als Push-basierte Authentifizierung (PBA) bekannt. Dabei beginnt der Benutzer mit der Anmeldung bei einer Webseite, einem Dienst oder einer Anwendung und erhält dann vom jeweiligen System über einen alternativen Kanal (2. Faktor) eine Aufforderung zugesendet – dieser Vorgang wird als Push bezeichnet. Darin wird der Nutzer gebeten, die Anmeldeanfrage zu genehmigen oder abzulehnen. Eine PBA-Anfrage kann dazu auch weitere relevante Anmeldedaten enthalten, zum Beispiel den physischen Aufenthaltsort des Anmeldeversuchs oder die dabei eingesetzte Browser- oder Betriebssystemversion.
Die meisten PBA-Aufforderungen werden an das Smartphone des Benutzers gesendet, wozu der Benutzer zunächst seine Handynummer registriert haben muss. Normalerweise verifiziert der PBA-fähige Dienst die Telefonnummer des Benutzers, indem er während des Registrierungsprozesses einen Code per SMS an das Telefon sendet, den der Benutzer in das Registrierungsformular eingeben muss.
Beispiele für Push-basierte Authentifizierung
Abbildung 1 zeigt die einfachste Ausprägung einer PBA-Anfrage per SMS. Solche Nachrichten sind jedoch dafür bekannt, dass sie sich von Angreifern relativ leicht missbrauchen, umleiten und in betrügerischer Absicht nutzen lassen. Daher verwenden mittlerweile die meisten PBA-Methoden eine App oder den Browser des Benutzers.
Im Beispiel von Abbildung 2 sind keine individuellen Informationen enthalten, wie der physische Standort des Logins, die Browserversion oder die Betriebssystemversion – die Nachricht liefert jedoch eine eindeutige Kennung (ZR7VQ) und die betreffende E-Mail-Adresse, um die Aufforderung mit der jeweiligen Login-Sitzung verknüpfen zu können.
Das Anmeldefenster in Abbildung 3 enthält hingegen neben der Anmelde-ID zusätzlich Informationen über das verwendete Betriebssystem des anfragenden Geräts sowie Zeit und Standort der Anfrage. Dieser „Standort“ ist jedoch längst nicht immer der Ort, an dem sich der rechtmäßige Benutzer befindet, während er sich aktiv anmeldet: Dynamische IP-Adressen und virtuelle Netzwerkadressen können manchmal mit abweichenden physischen Standorten verbunden sein. Einige VPNs oder Mobilfunknetze führen beispielsweise dazu, dass im Standortfeld Ortsinformationen angezeigt werden, die nicht dem aktuellen physischen Standort des Nutzers entsprechen – passiert das häufiger, „lernen“ Nutzer dieses Feld zu ignorieren. Das Amazon-Beispiel aus Abbildung 4 verwendet als zusätzliche „Standortangabe“ nicht die physische Lokation, sondern gleich die IP-Adresse des anfragenden Systems – im Bild ist diese identisch mit der IP-Adresse des bestätigenden Systems, das die PBA-Nachricht erhält.
Im Allgemeinen wird PBA von Nutzern weitgehend akzeptiert und als eine gute Form der MFA angesehen, die auf breiter Basis eingesetzt werden kann – aber PBA ist bei Weitem nicht narrensicher und manchmal erweist sich auch hier der Mensch als das schwächste Glied.
Push-Bombing
Eines der größten Probleme mit PBA-Anmeldungen besteht darin, dass Nutzer eben nicht nur Aufforderungen für legitime Anmeldungen genehmigen, an denen sie tatsächlich beteiligt sind: Im Laufe der Zeit hat sich herausgestellt, dass ein gewisser Prozentsatz der PBA-Nutzer eine oder mehrere PBA-Eingabeaufforderungen „abhaken“, auch wenn sie sich gar nicht selbst anmelden. Angreifer haben sich das schon des Öfteren zunutze gemacht und einige Cybersicherheitsexperten fragen sich mittlerweile, ob PBA-basierte Aufforderungen nicht sogar leichter zu umgehen sind als die vermeintlich so unsicheren Passwörter.
Manchmal genügt bereits eine einzige betrügerische Push-Anfrage, manchmal sind mehrere oder viele erforderlich. Bei der Push-Bombing-Methode veranlassen Angreifer den Versand etlicher Push-Anfragen an das potenzielle Opfer, manchmal dutzende bis über hunderte, oft spät in der Nacht. Das Ziel sagt vielleicht zunächst „Nein“ zu den Aufforderungen, aber nachdem es dutzende von ihnen abgelehnt hat, geht es vielleicht davon aus, dass es sich um ein Systemproblem handelt und klickt dann doch einfach auf „Ja“, damit die vielen Aufforderungen aufhören.“
Abbildungen 1 und 2
Viele, wenn nicht die meisten Penetration-Tester, die PBA-basierte Anmeldungen untersucht haben, sehen die Methode als nicht sicher genug an. Bei ihren Tests haben sie festgestellt, dass es einfach zu viele Nutzer gibt, die PBA-Aufforderungen mehr oder minder leichtfertig genehmigen. Das Problem ist, dass längst nicht nur ethisch agierende Pentester PBA-basierte MFA attackieren.
MFA-Prompt-Bombing-Beispiele aus der Praxis
Viele Angreifer und Cyberkriminelle missbrauchen PBA-basierte MFA. Böswillige Gruppen suchen sogar gezielt nach potenziellen Opfern, weil sie PBA-basierte MFA verwenden. Sprecher der Gruppe Lapsus$ (vgl. [1]) haben behauptet, dass Push-Bombing sogar bei den größten und technologisch versiertesten Unternehmen der Welt, wie Microsoft, funktioniert. Und die renommierte Sicherheitsfirma Mandiant hat dokumentiert, dass die in Russland ansässige Gruppe Cozy Bear ebenfalls Push-Bombing einsetzt [2].
Abbildung 3
Einer der bemerkenswertesten Fälle dieses Jahres betraf Cisco Talos: Der Threat-Intelligence-Anbieter veröffentlichte einen recht umfassenden Bericht [3] darüber, wie sich Angreifer Zugang zum Cisco VPN verschaffen konnten und was sie taten, sobald sie dort eingedrungen waren: Der erste Zugriff erfolgte mittels Push-Bombing. Der Clou war dabei, dass die Angreifer den anvisierten Cisco-Mitarbeiter anriefen und behaupteten, mit einer legitimen IT-Support-Aufgabe befasst zu sein, für welche die Anmeldeaufforderung bestätigt werden müsse – was ihr Opfer dann auch tat.
Abbildung 4
In einem anderen Fall gelang es einer Ransomware-Bande, von einem großen Fortune-500-Unternehmen in den USA ein Lösegeld in Höhe von 20 Mio. US-$ zu erpressen: Im Nachgang wurde festgestellt, dass der CISO des Unternehmens selbst für die Genehmigung illegaler Anmeldungen verantwortlich war, obwohl diese aus Russland stammten. Als der CISO gefragt wurde, warum er über 80 solcher Anmeldungen genehmigt hatte, an denen er nicht aktiv beteiligt war, antwortete er: „Mir wurde gesagt, ich solle auf Genehmigen klicken, wenn ich dazu aufgefordert wurde. Ich habe nur getan, was mir gesagt wurde!“
Höchstwahrscheinlich wurde dieser CISO in die neue Methode eingewiesen, als seine Abteilung von normalen Kennwortanmeldungen auf PBA-basierte Anmeldungen umgestellt wurde. Ein Teil der Einweisung bestand in der Tat darin, dass der Nutzer beim Versuch sich anzumelden auf die Schaltfläche „Genehmigen“ klicken sollte. Was fehlte – und wovon der PBA-Administrator wohl annahm, dass ein CISO es von Natur aus wissen würde – war, bei Bedarf auf „Verweigern“ zu klicken. Darüber hinaus hätte der CISO den Vorfall den zuständigen Kollegen melden müssen, wenn es sich nicht um (s)eine aktive Anmeldung handelte.
Heikle Hilfsbereitschaft
In einem anderen Fall war ein IT-Administrator für die Absicherung seines großen US-amerikanischen Unternehmens mit PBA-basierten Logins zuständig: Ein Teil des anfänglichen Problems bestand darin, dass viele der Mitarbeiter auf den Ölplattformen der Firma keine neueren Smartphones hatten – viele nutzten dort bislang nur ältere Klapphandys, auf denen die PBA-App nicht installiert werden konnte. Ergo musste das Unternehmen dort vielen Mitarbeitern ein Smartphone besorgen und ihnen beibringen, wie man es bedient. Statt dem zu folgen ließen die Mitarbeiter ihre PBA-basierten Logins jedoch als Push-Nachrichten an ihren Chef senden, der diese absprachegemäß empfing und fortan jeden Tag Dutzende von PBA-Anmeldungen genehmigte, ohne wirklich zu wissen, ob diese von einem seiner Mitarbeiter ausgingen oder nicht.
Einfach alle ankommenden Anmeldeversuche freizugeben, ohne zu wissen, ob sich tatsächlich ein rechtmäßiger Nutzer anmeldet, führt die PBA natürlich ad absurdum – und birgt offenkundige Risiken. Der Chef wurde dann auch darauf hingewiesen, wie riskant seine Entscheidung und sein Handeln für das Unternehmen waren – er wurde ermahnt und die PBA-basierten Anmeldungen für jeden einzelnen seiner Mitarbeiter zurück konfiguriert. Einige Monate später meldete sich der zuständige IT-Administrator wieder bei dem Chef, um zu sehen, wie die Dinge liefen. Er war schockiert, als er erfuhr, dass dieser zu seinen alten Gewohnheiten zurückgekehrt war und erneut seit Längerem die Eingabeaufforderungen für viele Dutzende Mitarbeiter genehmigte.
Gegenmaßnahmen
Unternehmen stehen MFA-Prompt-Bombing und anderen Attacken auf die verstärkte Authentifizierung jedoch nicht wehrlos gegenüber. Die folgenden Empfehlungen zeigen, wie man sich gegen aktuelle Bedrohungen und Angriffe verteidigen kann, wenn man PBA-Verfahren einsetzt.
Aufklärung durch Training
Der erste Schritt ist – wie so oft – eine gute Aufklärung: Unternehmen müssen alle Beteiligten über die Stärken und Schwächen von PBA unterrichten. Jeder muss verstehen, was PBA kann und was nicht. Mitarbeiter müssen verstehen, wie sie PBA nutzen können und wie wichtig es ist, keine Aufforderungen zu genehmigen, an denen sie selbst nicht aktiv und erwartungsgemäß beteiligt sind. Sie müssen wissen, dass sie, wenn sie eine PBA-Aufforderung erhalten, ohne sich aktiv anzumelden, die Anfrage ablehnen und den Versuch der zuständigen Abteilung melden müssen.
Sie müssen wissen, dass jemand, der sie unerwartet anruft und bittet, einer unerwarteten PBA-Aufforderung zuzustimmen, ein Angreifer sein kann und dass sie diese Aufforderung niemals annehmen sollten.
Kontrolle durch simulierte Phishing-Tests
Im Anschluss an die PBA-Schulung sollte eine simulierte Phishing-Kampagne durchgeführt werden, die betrügerisch aussehende PBA-Aufforderungen enthält. So lässt sich herausfinden, welche Mitarbeiter sich dazu verleitet lassen, betrügerische Anmeldeaufforderungen zu genehmigen.
Rate Limit – „Geschwindigkeitsbegrenzung“ für PBA
PBA-Anbieter können helfen, indem sie eine Drosselungsfunktion in ihre PBA-Lösung einbauen. Hier geht es um Mechanismen, welche die Menge der aufeinander folgenden, nicht-genehmigten PBA-Anmeldungen auf eine bestimmte Höchstzahl beschränken. Außerdem sollte zwischen zwei nicht-genehmigten Anmeldeversuchen ein Mindestzeitraum vorgesehen werden können. Auf diese Weise können Angreifer nicht so viele PBA-Push-Aufforderungen senden, wie sie wollen – und damit Nutzer womöglich überfordern.
Abbildung 5
Monitoring und Alerting
Das genutzte Verfahren sollte eine Möglichkeit zur Überwachung von PBA-Anmeldungen und zur Alarmierung bei verdächtigen Aktivitäten vorsehen, etwa bei:
einer ungewöhnlichen Anzahl von PBA-Anmeldeversuchen für einen Benutzer, einer ungewöhnlichen Anzahl von PBA-Anmeldeversuchen für eine aggregierte Anzahl von Benutzern sowie bei ungewöhnlichen Zeiten, Orten und „unmöglichen“ Änderungen des physischen Standorts (siehe auch „Geolocation-Schutz“).
Abbildung 6
Zahlenabgleich
Microsoft, Google, Duo und andere Hersteller bieten eine relativ neue Schutzfunktion an, die als Nummernabgleich bekannt ist. Dabei wird auf dem Anmeldebildschirm eine zufällig generierte Zahl angezeigt. In der Regel besteht diese nur aus zwei Ziffern – der Nutzer muss dann diese Zahl auf dem PBA-Aufforderungsbildschirm auswählen oder eingeben, um die Anmeldung zu bestätigen. Die Abbildungen 5 und 6 zeigen, wie Google den Nutzer dazu auffordert, die richtige passende Nummer auszuwählen (Abb. 6), die auf dem Anmeldebildschirm während der PBA-Anmeldung angezeigt wurde (Abb. 5).
Abbildung 7 und 8
Microsoft fordert hingegen, dass der Nutzer den richtigen Wert eintippt, statt zwischen drei Auswahlmöglichkeiten zu wählen (Abb. 7 und 8). Dabei bezieht der Anbieter auch den physischen Standort, die beteiligte App und die Anmeldekennung mit ein. Bei allen drei genannten Anbietern ist der Nummernabgleich allerdings eine optionale Funktion und möglicherweise nicht für alle Kunden verfügbar.
Geolocation-Schutz
Viele PBA-Lösungen enthalten Hinweise auf den geografischen Standort. Einige geografische Schutzfunktionen sind so ausgeklügelt, dass nachfolgende Anmeldungen automatisch verweigert werden, wenn zwei aufeinander folgende Anmeldungen für den Benutzer physisch unmöglich machbar wären. Zum Beispiel könnte ein erster Login in den USA erfolgen und zwei Stunden später ein Anmeldeversuch aus Deutschland vorliegen – das wäre für denselben Nutzer physisch unmöglich machbar.
Bedingter Zugang
Man kann auch weitere Authentifizierungsfaktoren einführen, bevor ein Mitarbeiter sich anmelden darf: Beispielsweise könnte man einen Nutzer an einen bestimmten geografischen Standort binden oder ihm nur erlauben, sich von einem einzigen Gerät mit einer bestimmten Hardware-ID anzumelden.
Fazit
Bei entsprechender Ausbildung und Schulung können PBA-Anmeldungen eine gute und sichere Anmeldemethode sein. Aber alle Nutzer müssen verstehen, wie wichtig es ist, nur solche Anmeldungen zu genehmigen, bei denen sie selbst aktiv beteiligt sind. PBA-Anmeldungen sind überdies nur eine von vielen verschiedenen Arten von Authentifizierungsverfahren. Wo sich Unternehmen zu große Sorgen über die damit verbundenen Risiken machen, sollten sie alternative Methoden in Betracht ziehen.
Roger A. Grimes ist Data-Driven Defense Advocate bei KnowBe4.
Literatur
[1] Dan Goodin, Lapsus$ and SolarWinds hackers both use the same old trick to bypass MFA, Not all MFA is created equal, as script kiddies and elite hackers have shown recently, Ars Technica, März 2022, https://arstechnica.com/?post_type=post&p=1843896
[2] Luke Jenkins, Sarah Hawley, Parnian Najafi, Doug Bienstock, Suspected Russian Activity Targeting Government and Business Entities Around the Globe, Mandiant Blog, Dezember 2021, www.mandiant.com/resources/blog/russian-targeting-gov-business
[3] Cisco Systems, Cisco Talos shares insights related to recent cyber attack on Cisco, Talos Blog, August 2022, https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
[4] David Braue, MFA Lulls Businesses Into A False Sense Of Security, Cybercrime Magazine, Dezember 2021, https://cybersecurityventures.com/hacking-multi-factor-authentication/
[5] Overt, 23 ways you can hack MFA solutions, Overt Industry News, März 2022, www.overtsoftware.com/23-ways-to-hack-mfa