Mehr-Faktor-Authentifizierung, aber richtig!

Warnung vor Attacken auf Mehr-Faktor-Authentifizierung

Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) meldete kürzlich, dass Angreifer die Protokolle zur Mehr-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) umgangen haben, um Cloud-Service-Konten zu gefährden.

„CISA sind mehrere erfolgreiche Cyberangriffe gegen Cloud-Dienste verschiedener Organisationen bekannt geworden“, so die US-Cybersicherheitsbehörde.

„Die an diesen Angriffen beteiligten Cyberkriminellen verwendeten eine Vielzahl von Taktiken und Techniken – einschließlich Phishing, Brute-Force-Anmeldeversuchen und möglicherweise einen „Pass-the-Cookie“-Angriff, um zu versuchen, Schwachstellen in den Sicherheitspraktiken der Organisationen auszunutzen.“

Leider ist dies kein Einzelfall. Vielmehr sind solche Cookie-Attacken, die auch MFA-Verfahren gefährden können, häufig.

Der Sicherheitsanbieter Cerberus Sentinel erklärte dazu: „Das Umgehen von MFA über gestohlene Cookies ist weit verbreitet. Cookies stellen die Sitzungspersistenz für Webanwendungen her. Wenn Sie mit einer Webanwendung authentifiziert sind, ob MFA oder nicht, wird das Cookie abgelegt. Das Cookie enthält die Sitzungs-ID und die Zugriffstoken für die Webanwendung. Auf diese Weise müssen Sie sich nicht ununterbrochen erneut bei der Webanwendung authentifizieren. Dies ist ein inhärenter Fehler im HTTP-Protokoll und in der Funktionsweise von Webanwendungen.“

Mehr-Faktor-Authentifizierung: Passwort + SMS-Code o.Ä.

Viele Onlinedienste bieten mittlerweile die Möglichkeit, das Passwort-Verfahren durch eine zusätzliche Zwei-Faktor-Authentifizierung zu ergänzen. Hat der Nutzer sein Passwort eingegeben, muss er beispielsweise darüber hinaus einen SMS-Code eintippen, den er automatisiert auf sein Mobilgerät geschickt bekommt. Darüber hinaus setzen sich biometrische Verfahren wie Fingerabdruck immer mehr durch.

Wann immer sich die Möglichkeit bietet, sollte man diese Optionen aktivieren. Denn sie erhöhten weiter die Sicherheit der Zugänge, so der Sicherheitsanbieter Nevis.

Allerdings führt eine Zwei- oder Mehr-Faktor-Authentifizierung nicht automatisch zu einem sicheren Zugang.

Nicht nur auf Mehr-Faktor-Authentifizierung vertrauen

Die Empfehlung der Sicherheitsexperten lautet: Der Weg, um die MFA-Sicherheitsanfälligkeit bezüglich Pass-the-Cookies zu verringern, besteht darin, die Cookies besser zu verwalten und die Benutzer besser zu schulen.

Insbesondere sollten Website-Betreiber Cookies nur mit einer kurzen Lebensdauer und nur für eine einzelne Sitzung setzen. Schließt ein Besucher den Browser, wird das Cookie ungültig. Nutzer müssen also wissen, dass sie sich von Webanwendungen abmelden und ihren Browser schließen müssen, nachdem sie die Wesite besucht haben.

Viele Benutzer melden sich niemals ab, oder sie schließen einen Browser nicht. Das erhöht jedoch das Risiko für einen Cookie-Diebstahl.

MFA allein ist also nicht automatisch sicher. Denn Angreifer können auch die Mehr-Faktor-Authentifizierung umgehen, indem sie andere Schwachstellen ausnutzen. Bei Online-Zugängen könnten sie etwa die Cookies stehlen, die eine Website als Nachweis für die erfolgreiche Anmeldung setzt.

Mit diesen Cookies könnten die Angreifer die Anmeldung übernehmen und die darüber geschützten Daten stehlen – und das alles trotz einer Anmeldung, die über mehrere Faktoren gesichert ist.

Im Übrigen würde auch ein dritter Sicherheitsfaktor nichts helfen. Denn er führt ebenfalls zu einer erfolgreichen Anmeldung und einem Sitzungscookie für den Online-Dienst. Und diesen Cookie könnten Angreifer übernehmen.

Zusätzliche Maßnahmen

Verantwortliche müssen also zusätzliche Sicherheits-Maßnahmen ergreifen, um Schwachstellen in den Anmeldeverfahren zu minimieren.