Für viele Unternehmen wurde 2020 die Multi-Faktor-Authentifizierung (MFA) zu einer "Muss"-Sicherheitskontrolle. Eine falsch konzipierte oder implementierte MFA-Infrastruktur kann allerdings leicht kompromittiert und in der Angriffskette verwendet werden. Sicherheitsexperte CyberArk nennt vier Szenarien für die Umgehung von MFA-Kontrollen.
Die mit einer unzureichenden MFA-Implementierung verbundenen Gefahren werden zunehmend erkannt. So hat CyberArk seit Anfang 2020 vermehrt Anfragen von Unternehmen zur Simulation von MFA-Bypass-Angriffen erhalten. Im Rahmen dieser Aufträge hat CyberArk vier Hauptangriffsvektoren identifiziert: Architektur- und Designfehler, unsichere Token-Onboarding-Prozesse, Browser-Cookies und Zugriffsprotokolle.
- Architektur- und Designfehler
Viele Unternehmen setzen SSO (Single Sign-on) mit MFA ein, um das Risiko eines Credential-Diebstahls zu minimieren. Bei einer von CyberArk durchgeführten Angriffssimulation nutzte ein großes globales Unternehmen einen MFA-Anbieter, um seinen VPN-Zugang zu sichern. Sobald Remote-Benutzer mit dem VPN verbunden waren, griffen sie mittels SSO auf verschiedene Cloud-Dienste zu.
CyberArk-Tests ergaben allerdings, dass Benutzer, die sich von einer vertrauenswürdigen IP-Adresse innerhalb des VPN-Bereichs anmeldeten, nur nach ihren Domain-Anmeldeinformationen gefragt wurden, bevor sie Zugriff auf einen Cloud-Dienst erhielten.
Dies zeigt ein grundlegendes Architekturproblem auf: MFA wurde nur für den infrastrukturbasierten Zugriff angewendet, nicht aber für individuelle Benutzeridentitäten, die auf kritische Informationen zugreifen. MFA-Kontrollen waren damit nutzlos und machten das Unternehmen anfällig für einen Ein-Faktor-Angriff.
- Unsichere Token-Onboarding-Prozesse
In einem weiteren CyberArk-Projekt war es das Ziel, in die sensiblen Industrienetzwerke eines Unternehmens einzudringen, die durch MFA-Token geschützt sind. CyberArk verschaffte sich zunächst Zugang zum IT-Netzwerk und begann mit der Überprüfung von Benutzer-E-Mails. Dabei fiel schnell etwas Seltsames am anfänglichen Onboarding-Prozess auf:
Neue Benutzer erhielten eine E-Mail mit einer URL, die sie anklicken mussten, um das MFA-Soft-Token ihres Telefons mit ihrer Benutzeridentität auf dem MFA-Server des Unternehmens zu verknüpfen. Dieser Link enthielt auch den kryptografischen Seed des MFA-Tokens des Benutzers – oder mit anderen Worten die primären kryptografischen Schlüssel, die zur Generierung des Tokens verwendet wurden. Die gute Nachricht war, dass der Seed durch einen PIN-Code geschützt war.
Mit den E-Mails hatte CyberArk Zugriff auf die kryptografischen Seeds und benötigte nur noch den PIN-Code und den Zeitstempel, um doppelte MFA-Token zu erstellen und eigene OTP-Codes im Namen der Benutzer zu generieren.
Dabei wurde schnell festgestellt, dass jeder einzelne Seed durch einen einfachen vierstelligen Code geschützt war, der innerhalb von Sekunden geknackt werden konnte. Dadurch konnte CyberArk den MFA-Token eines jeden Benutzers nach Belieben replizieren. Das Ergebnis war eine volle Zugriffsmöglichkeit auf das industrielle Netzwerk.
- Browser-Cookies
Zu den beliebtesten Angriffszielen gehören Browser-Cookies, die nach einer Authentifizierung im Browser des Endbenutzers gespeichert werden. Solche Cookies werden verwendet, damit ein User sich nicht jedes Mal erneut bei der Nutzung einer Applikation anmelden muss, wenn er seinen Browser schließt.
Auf Windows-Systemen werden diese Cookies über die kryptografische Schnittstelle DPAPI (Data Protection Application Programming Interface) verschlüsselt. Im Wesentlichen ermöglicht DPAPI einem Nutzer einen einzigen API-Aufruf, um einen BLOB (Binary Large Object) zu verschlüsseln oder zu entschlüsseln, ohne dass lokale Administratorrechte benötigt werden.
In jeder Domain-Umgebung gibt es einen Domain-weiten Backup-Schlüssel, der jeden DPAPI-verschlüsselten BLOB entschlüsseln kann. Mittels Nutzung der Schnittstelle DPAPI ist es relativ einfach möglich, die Browser-Cookies und Passwörter der User unter Verwendung ihrer eigenen Credentials durch den Aufruf einer einfachen Windows-API zu entschlüsseln. Und durch die Zugriffsmöglichkeit auf die Domain-Schlüssel kann ein Angriff aus der Ferne auf alle Benutzer und Rechner in einer Domäne ausgeweitet werden.
- Zugriffsprotokolle
Wenn auf kritische Ressourcen über mehrere Kanäle zugegriffen werden kann, unterlassen es Unternehmen oft, die sekundären Kanäle zu sichern. So nutzen viele Unternehmen MFA im Administratorenbereich für den Zugriff auf kritische Server über RDP (Remote Desktop Protocol). Wenn sich ein privilegierter Benutzer per RDP bei einem Server anmeldet, ruft das Windows-Betriebssystem eine MFA-Anwendung zur Verifizierung des Anmeldeversuchs auf.
Das heißt: Ein Angreifer, der sich einen Administrator-Benutzernamen und ein Passwort für den Server verschafft, wird immer noch daran gehindert, über RDP auf den Server zuzugreifen. Dabei wird allerdings vergessen, dass RDP nur eine unter vielen Zugriffsvarianten ist. In AD (Active Directory)-Umgebungen etwa sind Remote-Management-Ports standardmäßig aktiviert. Und auf andere Protokolle wie SMB (Server Message Block) und RPC (Remote Procedure Call) kann mit Tools wie PsExec oder Powershell zugegriffen werden.
Bei diesen Protokollen erfolgt in der Regel keine Zwei-Faktor-Authentifizierung, da die meisten MFA-Module eine nicht-interaktive Kommunikation nicht abdecken. Ein Angreifer wäre deshalb in der Lage, sich nur mit einem Benutzernamen und einem Passwort anzumelden und Zugriff auf den Server zu erlangen.
„Ohne Zweifel ist MFA eine wesentliche Sicherheitsmaßnahme. Wie bei jeder Sicherheitslösung kommt es aber auf das richtige Design und die richtige Implementierung an“, betont Christian Götz, Director of Presales – DACH bei CyberArk. „Vor allem aber muss MFA immer auch im Kontext einer ganzheitlichen, mehrschichtigen Identity-Security- und Zero-Trust-Strategie gesehen werden, einschließlich eines Privileged-Access-Managements mit Session-Isolierung und Credential Management. Nur eine End-to-End-Sicherheit kann ein Unternehmen zuverlässig vor Angriffen schützen.“