MFA Fatigue: Hackergruppe umgeht 2FA mit einfachem Trick

Zwei-Faktor-Authentifizierung (2FA) soll den Anmeldevorgang mit Benutzername und Passwort zusätzlich absichern. Doch nicht alle Systeme sind gleich sicher, wie die Angriffe der Ransomwaregruppe Lapsus$, aber auch anderer Angreifer erneut aufzeigen. Denn viele 2FA- oder MFA-Systeme (Multi-Faktor-Authentifizierung) haben ihre Tücken.

"Viele 2FA-Anbieter ermöglichen es den Benutzern, eine Push-Benachrichtigung einer Smartphone-App zu akzeptieren oder einen Anruf zu erhalten und eine Taste als zweiten Faktor zu drücken", schreiben Forscher der Sicherheitsfirma Mandiant. "Der Bedrohungsakteur [Nobelium] nutzte dies aus und stellte mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptierte, was dem Bedrohungsakteur schließlich den Zugriff auf das Konto ermöglichte."

Auch Lapsus$ setzte laut dem Onlinemagazin Ars Technica auf den Angriff, um in die Netzwerke von Microsoft einzudringen. "Es gibt kein Limit für die Anzahl der Anrufe, die getätigt werden können", schrieb ein Mitglied in der Lapsus$-Telegram-Gruppe. "Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt [und die #-Taste drückt], kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden."

Mit MFA Fatigue ins Netzwerk von Microsoft

Diese Angriffstechnik wird MFA Bombing oder MFA Fatigue genannt. Mit dieser sei man auch bei Microsoft erfolgreich gewesen, schreibt das Lapsus$-Mitglied. "Ich konnte mich von Deutschland und den USA aus gleichzeitig in das Microsoft-VPN eines Mitarbeiters einloggen, offenbar ohne dass es bemerkt wurde. Außerdem konnte ich die MFA zweimal neu registrieren."

2FA-Systeme, die auf per SMS oder E-Mail zugeschickte oder per App generierte Codes (TOTP) setzen, sind anfällig für Phishing-Angriffe. Tools wie Modlishka können in kurzer Zeit Phishing-Webseiten erstellen, indem sie die Login-Seiten unter einer anderen Domain spiegeln - beispielsweise die von Google.com. Die eingegebenen Zugangsdaten sowie etwaige 2FA-Codes werden ebenfalls mitgeschnitten - und live für einen Login auf der entsprechenden Webseite benutzt.

Doch mit Fido beziehungsweise Webauthn gibt es eine sicherere und phishingresistente Alternative, die auf Public-Key-Kryptographie setzt. Die Technik ermöglicht dabei sogar ein passwortloses Anmelden per Knopfdruck.

Das ist beispielsweise mit sogenannten Fido-Sticks oder Android-Smartphones möglich. Allerdings muss der entsprechende Dienst Fido/Webauthn unterstützen.

Hacks bei Microsoft, Samsung, Okta und Nvidia

Microsoft bestätigte erst kürzlich den Angriff von Lapsus$, bei dem unter anderem ein Großteil des Quellcodes der Suchmaschine Bing sowie Bing Maps und Cortana veröffentlicht wurde. Insgesamt wurden 37 GByte interne Daten von 250 Softwareprojekten veröffentlicht.

Mehrere mutmaßliche Mitglieder von Lapsus$ im Alter zwischen 16 und 21 Jahren wurden kürzlich von der Londoner Polizei festgenommen. Neben Microsoft sollen die Teens und Tweens auch Okta, Samsung und Nvidia angegriffen haben. Bei Samsung sollen die Kriminellen insgesamt 190 GByte an sicherheitsrelevanten Daten erbeutet haben, die sie anschließend über Torrents veröffentlichten.

Zuvor wurde bereits die IT-Infrastruktur des Chipherstellers Nvidia angegriffen. Auch hier wurden Daten entwendet. Allerdings reagierte Nvidia mit einer Gegenattacke und verschlüsselte die VM, mit der die Angreifer auf das interne Netzwerk des Chipherstellers zugegriffen hatten. Lapsus$ hatte jedoch nach eigenen Angaben bereits ein Backup der Daten angelegt. Die Ransomwaregruppe versuchte erfolglos, Nvidia mit den Daten zu erpressen, und veröffentlichte diese nach und nach.