Microsoft: Hacker umgehen Multi-Faktor-Authentifizierung mit gestohlenen Tokens

Hacker haben sich laut Microsoft darauf eingestellt, dass immer mehr Unternehmen auf eine Multi-Faktor-Authentifizierung (MFA) setzen, um Nutzerkonten von Mitarbeiter zu schützen. Der Softwarekonzern beobachtete zuletzt nach eigenen Angaben eine Zunahme von Angriffen, bei denen gestohlene Tokens eingesetzt werden, um MFA auszuhebeln.

Bei solchen Angriffen werden Tokens kompromittiert, die für Nutzer ausgestellt wurden, die eine MFA bereits erfolgreich abgeschlossen haben. Die gestohlenen Tokens werden dann erneut verwendet, um sich mit einem anderen Gerät Zugang zum fraglichen Nutzerkonto zu verschaffen. Tokens werden unter anderem von OAuth 2.0 Plattformen wie Azure Active Directory verwendet, um die Authentifizierung von Nutzern zu vereinfachen und zugleich Passwort-Attacken zu erschweren.

Microsoft stuft Token-Diebstahl aufgrund der geringen technischen Anforderungen als besonders gefährlich ein. Zudem sei es schwierig, solche Attacken aufzuspüren. Da die Angriffstechnik bisher wenig verbreitet sei, seien auch nur wenige Unternehmen ausreichend darauf vorbereitet.

Auch gestohlene Cookies hebeln MFA aus

Neben dem Token benötigen Hacker auch noch die Anmeldedaten eines Nutzerkontos, an die sie laut Microsoft beispielsweise per Phishing gelangen könnten. “Wenn der Benutzer Opfer von Phishing wird, erfasst die bösartige Infrastruktur sowohl die Anmeldeinformationen des Benutzers als auch das Token”, erklärte Microsoft. Anmeldedaten und Token könnten dann für eine Vielzahl von Angriffen eingesetzt werden, darunter auch Business E-Mail Compromise.

Eine weitere Gefahr geht von “Pass-the-Cookie”-Angriffen aus. Hier haben es Angreifer nach Angaben des Softwarekonzerns auf Browser-Cookies abgesehen, die sie auf einem bereits kompromittierten Gerät finden. Cookies werden nämlich auch nach der Authentifizierung über einen Browser bei Azure Active Directory angelegt. Ein Angreifer könne ein solches Cookie an einen anderen Browser auf einem anderen Gerät weitergeben und so Sicherheitsprüfungen umgehen.

“Benutzer, die über private Geräte auf Unternehmensressourcen zugreifen, sind besonders gefährdet. Persönliche Geräte haben oft schwächere Sicherheitskontrollen als vom Unternehmen verwaltete Geräte, und IT-Mitarbeiter haben keinen Einblick in diese Geräte, um eine Gefährdung festzustellen”, ergänzte Microsoft.

Microsoft empfiehlt Unternehmen, die Gültigkeitsdauer von Tokens und Anmeldesitzungen zu verkürzen. Das hat allerdings zur Folge, dass sich Nutzer häufiger authentifizieren müssen. Zudem rät das Unternehmen, FIDO2-Sicherheitsschlüssel und Windows Hello for Business einzuführen oder auf eine zertifikatsbasierte Authentifizierung für Nutzer zu setzen. Auch rät Microsoft davon ab, Konten mit besonders hohen Nutzerrechten mit einem E-Mail-Konto zu verknüpfen.

“Wir sind uns bewusst, dass es für Unternehmen zwar empfehlenswert ist, Standort-, Geräte-Compliance- und Sitzungsdauer-Kontrollen für alle Anwendungen durchzusetzen, dies aber nicht immer praktikabel ist”, so Microsoft weiter.