Abwehr von MFA-Spam-Angriffen mit Azure Active Directory
Die LAPSUS$-Angriffsgruppe hat kürzlich Microsoft und andere Anbieter erfolgreich mit Multi-Faktor-Authentifizierung (MFA)-Spam angegriffen. Microsoft beschreibt dies auf dem Security-Blog (MSRC) wie folgt: https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/.
Analyse
Eine der Techniken, die bei den Angriffen verwendet wurden, ist das „MFA-Spamming“. Das bedeutet, dass die Angreifer die Benutzer so lange mit MFA-Anfragen konfrontierten, bis diese sie schließlich akzeptierten. Früher oder später WIRD das passieren, also reicht auch hier das Passwort aus, um Zugang zu erhalten.
Natürlich war die Angriffskette etwas komplexer. Aber dieser Punkt ist der Grund, warum ich aufzeigen möchte, wie anfällig Azure AD für MFA-Spamming ist und wie Sie MFA trotzdem in sichereren Konfigurationen verwenden können.
Die zweite große Bedrohung: MFA-Phishing
Ein Aspekt bleibt richtig: Die Verwendung von MFA in Kombination mit der regulären passwortbasierten Authentifizierung ist immer noch sicherer als gar keine MFA. Dennoch kann MFA auch durch Phishing angegriffen werden, wenn man sich das folgende Szenario vorstellt:
Der Angreifer fälscht eine moderne Microsoft-Authentifizierungsaufforderung und leitet sowohl das Kennwort als auch den Code (der per SMS gesendet oder von der Authenticator-App genommen wird) an den gültigen Microsoft-Online-Authentifizierungsendpunkt weiter. MFA ist zwar vorhanden, hat den Angriff aber nicht verhindert.
Azure MFA bietet mehrere Methoden zur Durchführung von MFA. Zusammen mit den passwortlosen Angeboten, die wir haben, stehen Ihnen viele starke Authentifizierungsoptionen zur Auswahl. Die folgende Tabelle soll einen Überblick über jede Option und die jeweilige Sicherheitsstufe geben:
Methode
| Beschreibung | Kann verwendet warden für | Anfällig für |
SMS | Per Text gesendeter Code, der eingegeben werden muss | Primäre Authentifizierung, MFA, SSPR | Phishing, SIM Spoofing |
Sprache | Gesprochener Code, der eingegeben werden muss oder push-#-to-accept | MFA, SSPR | Phishing, SIM spoofing, MFA spamming |
Microsoft Authenticator Code
| Von der App generierter Code, der eingegeben werden muss | MFA, SSPR | Phishing, Malware |
Microsoft Authenticator codeless ohne Nummernabgleich | Aufforderung, die genehmigt oder abgelehnt werden kann | MFA, SSPR | Phishing, Malware, MFA Spamming |
Microsoft Authenticator codeless mit Nummernabgleich | Aufforderung, die genehmigt oder verweigert werden kann, wenn die Nummer, mit der bei der Anmeldung generierten übereinstimmt | MFA, SSPR | Gewalt |
OATH Tokens | Software- oder Hardware-Code-Generatoren | MFA, SSPR | Phising, Malware |
FIDO2 | Hardware-Token (USB, NFC, BT), gesichert durch biometrische Daten und/oder PIN | Primäre Authentifizierung (einschließlich MFA-Claim) | Gewalt |
Windows Hello for Business | Lokale Authentifizierung bei Windows 10 und 11 | Primäre Authentifizierung (einschließlich MFA-Claim) | Gewalt |
Microsoft Authentication in Passwordless Mode | Aufforderung, die genehmigt oder verweigert werden kann, wenn die Nummer, mit der bei der Anmeldung generierten übereinstimmt | Primäre Authentifizierung (einschließlich MFA-Claim) | Gewalt |
Wie Sie sehen, gibt es keine Methode, die 100 % sicher ist. Aber sie unterscheiden sich in der Art und Weise, wie sie für Angriffe anfällig sind. Bitte beachten Sie, dass einige (nach derzeitigem Kenntnisstand) nur dann angreifbar sind, wenn ein Angreifer physische Gewalt auf die Person ausübt, die die Authentifizierungsmethode verwendet.
Alles in allem ist die folgende MFA-Methode nach wie vor die sicherste:
- Microsoft Authenticator codeless mit Nummernabgleich: Die Nummer wird vom Authentifizierungsendpunkt generiert, so dass der Benutzer sie korrekt eingeben muss, da sonst die MFA-Akzeptanz nicht erfolgreich ist. Damit wird der traditionelle Ansatz im Grunde genommen umgedreht, indem die Nummer in der App eingegeben wird, anstatt einen App-Code in den Browser einzugeben. MFA-Phishing ist daher nicht möglich.
Das ist es für das klassische MFA-Szenario. Alle anderen Optionen gehören offiziell zur passwortlosen Kategorie, was immer noch bedeutet, dass diese Methoden auch als starke Authentifizierung angesehen werden und den MFA-Claim nach der Authentifizierung enthalten, wodurch alle Azure AD MFA-Anforderungen automatisch erfüllt werden:
- FIDO2: Kein MFA-Spam möglich, da die Authentifizierung nur durch den physischen Besitzer des Schlüssels gestartet werden kann. Außerdem können keine Codes in den Authentifizierungsendpunkt eingegeben werden, so dass auch MFA-Phishing verhindert wird.
- Windows Hello für Unternehmen: Gleiche Aspekte wie bei FIDO2.
- Microsoft Authentication in Passwordless Mode: Gleiche Aspekte wie bei FIDO2, die Nummer, die abgeglichen werden muss, wird vom Azure AD Authentifizierungsendpunkt generiert und ausschließlich in der App eingegeben.
Aktivieren von Microsoft Authenticator zur Verwendung von „sicherer“ MFA
Wie Sie in der obigen Tabelle gesehen haben, ist die einzige klassische MFA-Methode, die gegen MFA-Spam und MFA-Phishing resistent ist, die Microsoft Authentication in Passwordless Mode plus Nummernabgleich.
Während der codeless Modus eine Option ist, die nur global zugelassen oder verboten werden kann, kann der Nummernabgleich auf individueller Basis aktiviert werden, indem die Richtlinien für Authentifizierungsmethoden von Azure AD verwendet werden, die hier zu finden sind: https://portal.azure.com/#blade/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/AdminAuthMethods
Nach der Auswahl von „Microsoft Authenticator“ kann der Benutzerkreis (alle Benutzer oder eine Teilmenge) weiter konfiguriert werden:
Dazu gehören „Require number matching“ (den wir zur Verbesserung der Sicherheit benötigen) und „Show addtional context in notifications “ (einschließlich des Standorts der ursprünglichen Anmeldung und der App, bei der die Anmeldung erfolgt):
Erkennung von MFA-Spam
Bei den meisten Kunden, die ich kenne, werden mehr MFA-Optionen verwendet als solche, die gegen MFA-Spam oder MFA-Phishing resistent sind. Daher ist es eine gute Praxis (insbesondere seit LAPSUS$), Ereignisse zu verfolgen, die auf eine der bereits beschriebenen Angriffsarten hinweisen könnten.
Eine gute Möglichkeit ist die Verwendung von Microsoft Sentinel, wo Sie Zugriff auf alle Azure AD-Anmeldeprotokolle haben. Was ich empfehlen kann, ist diese Reihe von Abfragen von Matt Zorich:
Was auch helfen kann, ist diese Abfrage von Microsoft, die nach IP-Adressen-Teleportation sucht:
Zusammenfassung
Wie Sie sehen können, sind nicht alle MFA-Methoden gleich, was ihre Anfälligkeit für Angriffe wie MFA-Spam oder MFA-Phishing angeht. Der Weg, den Microsoft derzeit einschlägt, ist die passwortlose Anmeldung, über die ich bereits in einer Beitragsserie berichtet habe, die ich 2019 begonnen habe: https://chrisonsecurity.net/2019/07/28/going-passwordless-with-azure-active-directory/.
Wenn Sie noch nicht passwortlos gehen können, bleibt nur eine sichere Option für Standard-MFA: die Verwendung des Microsoft Authenticator codeless mit Nummernabgleich.
Doch wie ich bereits sagte, ist die Nutzung von MFA sicherer als es nicht zu tun.
Vielen Dank für die Lektüre!
Chris
Hinweis
Bitte beachten Sie, dass alle Inhalte in diesem Blog ohne jegliche Garantie bereitgestellt werden. Die englische Version des Blogs finden Sie hier:
https://chrisonsecurity.net/2022/04/14/counter-mfa-spam-attacks-with-azure-active-directory/
Webinar: Passwortless Authentication als perfekte Lösung?
Sie möchten mehr zu Thema passwortlose Authentifizierung erfahren oder Sie haben Fragen zum Thema an Sicherheitsexperten? Melden Sie sich hier für unser Webinar an:
Starten wir gemeinsam in die Zukunft
Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!
Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.
