Hacker haben sich laut Microsoft darauf eingestellt, dass immer mehr Unternehmen auf eine Multi-Faktor-Authentifizierung (MFA) setzen, um Nutzerkonten von Mitarbeiter zu schützen. Der Softwarekonzern beobachtete zuletzt nach eigenen Angaben eine Zunahme von Angriffen, bei denen gestohlene Tokens eingesetzt werden, um MFA auszuhebeln.
Bei solchen Angriffen werden Tokens kompromittiert, die für Nutzer ausgestellt wurden, die eine MFA bereits erfolgreich abgeschlossen haben. Die gestohlenen Tokens werden dann erneut verwendet, um sich mit einem anderen Gerät Zugang zum fraglichen Nutzerkonto zu verschaffen. Tokens werden unter anderem von OAuth 2.0 Plattformen wie Azure Active Directory verwendet, um die Authentifizierung von Nutzern zu vereinfachen und zugleich Passwort-Attacken zu erschweren.
Microsoft stuft Token-Diebstahl aufgrund der geringen technischen Anforderungen als besonders gefährlich ein. Zudem sei es schwierig, solche Attacken aufzuspüren. Da die Angriffstechnik bisher wenig verbreitet sei, seien auch nur wenige Unternehmen ausreichend darauf vorbereitet.
Auch gestohlene Cookies hebeln MFA aus
Neben dem Token benötigen Hacker auch noch die Anmeldedaten eines Nutzerkontos, an die sie laut Microsoft beispielsweise per Phishing gelangen könnten. “Wenn der Benutzer Opfer von Phishing wird, erfasst die bösartige Infrastruktur sowohl die Anmeldeinformationen des Benutzers als auch das Token”, erklärte Microsoft. Anmeldedaten und Token könnten dann für eine Vielzahl von Angriffen eingesetzt werden, darunter auch Business E-Mail Compromise.
Eine weitere Gefahr geht von “Pass-the-Cookie”-Angriffen aus. Hier haben es Angreifer nach Angaben des Softwarekonzerns auf Browser-Cookies abgesehen, die sie auf einem bereits kompromittierten Gerät finden. Cookies werden nämlich auch nach der Authentifizierung über einen Browser bei Azure Active Directory angelegt. Ein Angreifer könne ein solches Cookie an einen anderen Browser auf einem anderen Gerät weitergeben und so Sicherheitsprüfungen umgehen.
“Benutzer, die über private Geräte auf Unternehmensressourcen zugreifen, sind besonders gefährdet. Persönliche Geräte haben oft schwächere Sicherheitskontrollen als vom Unternehmen verwaltete Geräte, und IT-Mitarbeiter haben keinen Einblick in diese Geräte, um eine Gefährdung festzustellen”, ergänzte Microsoft.
Microsoft empfiehlt Unternehmen, die Gültigkeitsdauer von Tokens und Anmeldesitzungen zu verkürzen. Das hat allerdings zur Folge, dass sich Nutzer häufiger authentifizieren müssen. Zudem rät das Unternehmen, FIDO2-Sicherheitsschlüssel und Windows Hello for Business einzuführen oder auf eine zertifikatsbasierte Authentifizierung für Nutzer zu setzen. Auch rät Microsoft davon ab, Konten mit besonders hohen Nutzerrechten mit einem E-Mail-Konto zu verknüpfen.
“Wir sind uns bewusst, dass es für Unternehmen zwar empfehlenswert ist, Standort-, Geräte-Compliance- und Sitzungsdauer-Kontrollen für alle Anwendungen durchzusetzen, dies aber nicht immer praktikabel ist”, so Microsoft weiter.
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.