Lesedauer: ca. 2 Minuten

Die Zwei-Faktor-Authentifizierung dient eigentlich dazu, die Anmeldung an Portalen oder Diensten noch sicherer zu machen. Mit einem bereits bekannten Trick ist es der (vom Ursprung her mutmaßlich brasilianischen) Hackergruppe Lapsus$ nun jedoch gelungen, 2FA bei Microsoft und weiteren Unternehmen zu umgehen. In diesem Zusammenhang zeigt sich, dass es erhebliche Qualitätsunterschiede im Sicherheitsniveau der verwendeten 2FA- und MFA-Systeme (Multi-Faktor-Authentifizierung) gibt.

Branchenexperten äußerten sich dazu wie folgt:

„Viele 2FA-Anbieter ermöglichen es Benutzern, Push-Benachrichtigungen einer Smartphone-App zu akzeptieren oder einen Anruf zu erhalten und eine Taste als zweiten Faktor zu drücken. Bedrohungsakteure nutzen dies aus und stellen mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptiert… so wird schließlich der Zugriff auf das Konto möglich.“

Wie das Onlinemagazin Ars Technica berichtet, ging Lapsus$ auf die gleiche Weise vor und schaffte es so, auf Netzwerke von Microsoft zuzugreifen.

Erfolgreicher Angriff mit ‚MFA Bombing‘

In der Lapsus$-Telegram-Gruppe war zu lesen:

„Es gibt kein Limit für die Anzahl der Anrufe, die getätigt werden können. Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt [und die #-Taste drückt], kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden.

Ich konnte mich von Deutschland und den USA aus gleichzeitig in das Microsoft-VPN eines Mitarbeiters einloggen, offenbar ohne dass es bemerkt wurde. Außerdem konnte ich die MFA zweimal neu registrieren.“

Unter Zuhilfenahme von bestimmten, in Hacker-Kreisen gängigen Werkzeugen ist es ohne großen Aufwand möglich, Phishing Websites zu generieren. Diese gaukeln dem Anwender dann die Loginseite ‚ihres‘ Services o.ä. vor. Bei Eingabe der Zugangsdaten werden diese dann aufgezeichnet.

Alternative 2FA

Im Gegensatz zu 2FA-Systemen, die auf per SMS oder Mail zugeschickten oder per App generierte Codes (TOTP) basieren, ist mit der Methode der Public-Key-Kryptografie (genutzt von Fido beziehungsweise Webauthn) Sicherheit gegen Phishing-Attacken in hohem Maße garantiert.

Hier wird zwar zusätzliche bzw. spezielle Hardware benötigt, im Gegenzug ist passwortloses Anmelden per Knopfdruck möglich.

Konzerne im Visier

Durch die Attacke auf Microsoft gelangte eine große Datenmenge (ca. 37 GByte von 250 Softwareprojekten) an die Öffentlichkeit, unter anderem Quellcode der Anwendungen Cortana, Bing und Bing Maps.

Auch bei Samsung waren Hacker der Lapsus$-Gruppe erfolgreich, wie im Zuge von Ermittlungen und Festnahmen der Londoner Polizei festgestellt wurde – dort sollen um die 190 GByte sensibler Daten gestohlen und über mehrere Kanäle verbreitet worden sein.

Weitere Konzerne waren und sind betroffen, darunter auch der Chiphersteller Nvidia.

Phishing-Attacken sind eine ernstzunehmende Bedrohung – auch für mittelständische Unternehmen. Unsere Erfahrung und die Arbeit unserer Experten für Sicherheitsanalysen von CRISEC [Link] zeigt immer wieder die Defizite auf, die diesbezüglich bestehen.

Falls Sie Fragen zum Thema haben oder sich zu wirkungsvollen Gegenmaßnahmen informieren möchten, stehen wir Ihnen gerne unter der kostenfreien Rufnummer 0800 4883 338 zur Verfügung.

Quelle: https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-trick-2203-164236.html

Foto © Markus Spiske von Pexels