Die Tücken von MFA
Solange sich Angreifer mit gestohlen Passwörtern einfach Zugang zu Systemen verschaffen konnten, gab es keinen Grund, komplexere Angriffsformen einzusetzen. Als Gegenmassnahme wurde MFA eingeführt. Dadurch ist ein Zugriff nur mit gestohlenen Zugangsdaten nicht mehr möglich.
Dies hat zur Folge, dass Angreifer eine neue Methode einsetzen müssen, um ihr Ziel zu erreichen. Eine erfolgversprechende Möglichkeit sind Man in the Middle Angriffe.
Man in the Middle
Bei dieser Angriffsart lockt der Angreifer sein Opfer auf eine nachgebaute Webseite, die dem Original (auf das das Opfer eigentlich zugreifen möchte) zum Verwechseln ähnlich sieht. Das Opfer meldet sich dann bei dieser gefälschten Webseite an. Der Angreifer verwendet die vom Opfer eingegebenen Zugangsdaten (Benutzername und Passwort), um sich bei der richtigen Webseite anzumelden. Der Benutzer bekommt daraufhin eine Aufforderung auf seiner Authenticator App, um die Anmeldung zu bestätigen. Da er sich ja wirklich anmelden möchte, gibt er die Anmeldung über die App frei. Dadurch wird aber die Sitzung des Angreifers freigegeben, wodurch dieser vollen Zugriff hat. Die gefälschte Webseite zeigt dann dem legitimen Benutzer eine Fehlermeldung an (upps, leider hat etwas nicht geklappt. Bitte versuchen Sie es später nochmals).
Verbesserung im Microsoft Authenticator
Microsoft hat MFA verbessert, um unter anderem Man in the Middle Angriffe besser erkennen zu können.
Dazu wird auf dem Authenticator der Name der App (Web Applikation), die eine Bestätigung anfordert, angezeigt (1)
Weiter wird der Standort angezeigt, von dem aus der Zugriff erfolgt (also wo sich der Computer befindet, von dem aus der Zugriff auf die Web Applikation erfolgt) (2)
Wenn ein Man in the Middle Angriff erfolgt, unterscheidet sich der auf der App angezeigt Standort von demjenigen, an dem sich der Benutzer (und somit das Smartphone mit der Authenticator App) befindet.
In diesem Fall darf keine Bestätigung erfolgen. Die Benutzer müssen dafür entsprechend instruiert werden.
Eine weitere Verbesserung betrifft die Nummer, die auf der Web Applikation angezeigt wird und im Authenticator eingegeben werden muss. Durch diese Massnahme soll erreicht werden, dass Freigaben nicht aus Versehen erteilt werden. Diese Funktion wurde standardmässig von Microsoft aktiviert, die Anzeige des App Namens und der Position müssen aktiviert werden.
Aktivierung der neuen Sicherheitsfeatures
Damit die neuen Sicherheitsfeatures aktiviert werden können, muss eine Migration auf die neuen MFA policy settings gemacht werden.
Über den Autor
Thomas Gusset
Thomas Gusset hat über 25 Jahre Erfahrung in Netzwerksicherheit und ist CEO & CTO der NetSec.co AG