Samstag, Dezember 3, 2022

MFA-Müdigkeit ist real, und deshalb machen Sie vielleicht Schlagzeilen

Analysen Der Cyberangriff auf den Taxidienst Uber im September begann, als ein Krimineller die gestohlenen Zugangsdaten eines Unternehmensunternehmers im Darknet erwarb.

Der Übeltäter versuchte dann wiederholt, auf das Uber-Konto des Auftragnehmers zuzugreifen, was die Zwei-Faktor-Zugriffsgenehmigungsanfrage auslöste, die der Auftragnehmer zunächst verweigerte, und blockierte den Zugang. Der Auftragnehmer stimmte jedoch schließlich einer von vielen Push-Benachrichtigungen zu, die es dem Angreifer ermöglichten, sich in das Konto einzuloggen und Zugriff auf das Unternehmensnetzwerk, die Systeme und Daten von Uber zu erhalten.

Der App-Hersteller ist das jüngste hochkarätige Opfer von Multi-Factor Authentication (MFA)-Müdigkeit geworden, einem ständig wachsenden Cybersicherheitsproblem, bei dem Angreifer in einer Zeit, in der Bedrohungsgruppen ihren Fokus verlagern, in der Lage sind, einen Eckpfeiler moderner Verteidigung zu umgehen Endpunkte infizieren und stattdessen auf die Identität abzielen.

Microsoft und Cisco Systems wurden in diesem Jahr auch Opfer von MFA-Müdigkeit, auch bekannt als MFA-Spamming oder MFA-Bombing, und solche Angriffe nehmen rapide zu. Laut Microsoft hat die Zahl der Multifaktor-MFA-Angriffe zwischen Dezember 2021 und August zugenommen. Im vergangenen Dezember gab es 22.859 Azure Active Directory-Sicherheitssitzungen mit mehreren fehlgeschlagenen MFA-Versuchen. Im August waren es 40.942.

MFA gehört zu einer Reihe von Sicherheitsangeboten, die Unternehmen vor Cyberbedrohungen und dem Problem schützen sollen, dass Mitarbeiter versehentlich auf bösartige E-Mail-Anhänge oder URLs klicken, die darauf ausgelegt sind, Anmeldeinformationen zu stehlen, einschließlich Benutzernamen und Kennwörtern, die für Single-Factor-Zugriffe erforderlich sind. Ein weiterer Authentifizierungsfaktor wird benötigt, der von der Fingerabdruck- oder Gesichtserkennung über eine PIN bis hin zur Antwort auf eine Sicherheitsfrage reicht.

Es gibt auch Push-Benachrichtigungen, die auf dem Mobilgerät eines Benutzers erforderlich sind, wenn er versucht, mit seinen Anmeldeinformationen auf ein System oder Konto zuzugreifen. Anfragen erfordern eine Überprüfung, ob der Benutzer derjenige ist, der versucht, sich anzumelden.

In einer MFA-Müdigkeitssituation verwendet der Angreifer die gestohlenen Anmeldeinformationen, um wiederholt zu versuchen, sich bei einem geschützten Konto anzumelden, und überlastet den Benutzer mit Push-Benachrichtigungen. Der Benutzer kann zunächst auf die Eingabeaufforderung tippen, die besagt, dass er nicht versucht, sich anzumelden, aber schließlich keinen Spam mehr hat und ihn akzeptiert, nur um zu verhindern, dass das Telefon heruntergefahren wird. Sie können davon ausgehen, dass es sich um eine vorübergehende Störung oder ein automatisiertes System handelt, das erhöhte Anfragen verursacht.

Eine IT-Abteilung könnte, wenn möglich, eine Richtlinie einführen, die verhindert, dass sich ein Benutzer anmeldet, und stoppt MFA-Spam nach einer bestimmten Anzahl von fehlgeschlagenen Zweitfaktor-Authentifizierungsanfragen. Eine solche Regel könnte ausgenutzt werden, um Mitarbeiter als eine Art Denial-of-Service-Angriff auszusperren. Der Arbeitnehmer kann die Anfrage auch versehentlich oder irrtümlich annehmen, bevor das Limit erreicht ist. Andererseits können die Vorteile diese Nachteile überwiegen, also sollten Sie diese Option in Betracht ziehen.

Manchmal gibt sich der Angreifer jedoch als Teil des IT-Personals der Organisation aus und sendet eine Nachricht an den Mitarbeiter, um den Anmeldeversuch zu akzeptieren.

MFA-Müdigkeit beruht auf Social Engineering sowie auf Mängeln im Systemdesign, um auf das Unternehmensnetzwerk zugreifen zu können.

„Es ist eine Angriffsmethode, die den Mitarbeiter dafür ausnutzt, ein Mensch zu sein“, sagte John Spiegel, Director of Strategy und Field CTO bei Axis Security Das Register.

„Die Absicht ist, dass das Opfer von unzähligen MFA-Anfragen frustriert wird und schließlich auf ‚Genehmigen‘ klickt.“ Wir alle haben etwas Ähnliches mit Technologie erlebt: sei es so einfach wie das Einstellen einer Kühlschrankuhr oder das Klicken durch die Bildschirme, um alle Cookies zu akzeptieren Zugriff auf die Inhalte, nach denen wir suchen, validieren wir die Anfrage nicht immer. Der schlechte Akteur zählt“.

Der Angriff ist relativ einfach und hat für cyberkriminelle Teams funktioniert. Spamming MFA funktioniert gegen eine ganze Reihe von Teams. Yanluowangs Bande benutzte es im Mai bei einem Angriff auf Cisco und veröffentlichte später einige der gestohlenen Daten auf einer Dark-Web-Leak-Site. Im März hat die Lapsus$-Gruppe 37 GB Quellcode gestohlen, der von Microsoft gestohlen wurde, nachdem sie einen Mitarbeiter durch MFA-Müdigkeit kompromittiert hatte.

Dann war da noch Uber, das Lapsus$ beschuldigte.

In einem im Mai aktualisierten Bericht wies der Google-Konzern Mandiant auf einige russische Teams hin, die MFA-Spamming bei ihren Angriffen verwenden. Die Bedrohung hat auch die Aufmerksamkeit der Regierung auf sich gezogen. Diese Woche hat die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung Merkblätter veröffentlicht, in denen die Bedrohungen für MFA hervorgehoben werden und wie sich Unternehmen schützen können.

„Es ist eine riesige Bedrohung, weil es Sicherheitsmaßnahmen umgeht, die von einer Organisation eingeführt wurden, einschließlich einer der effektivsten, nämlich MFA“, sagte Sami Elhini, Biometrie-Spezialist bei Cerberus Sentinel. Das Register.

„Darauf müssen Unternehmen achten, denn MFA Fatigue ist wie Phishing eine Form von Social Engineering.“

MFA-Angriffe kommen, wenn Unternehmen Cloud-First-Zero-Trust-Modelle einführen, wenn die COVID-19-Pandemie nachlässt, die sich auf MFA verlassen sollten, um Daten und Anwendungen zu schützen, sagte Stephanie Aceves, Director Senior Product Management bei Tanium Das Register.

„MFA-Müdigkeit stellt eine ernsthafte Bedrohung für Unternehmen dar, da es für einen geduldigen Angreifer eine ziemlich banale Methode ist, sich Zugang zu den Ressourcen eines Privatunternehmens zu verschaffen“, sagte Aceves und merkte an, dass es das größte Risiko für Unternehmen anspricht: Menschen, die manipuliert werden können.

Was können Unternehmen jedoch tun, um sich vor MFA-Spam-Angriffen zu schützen? Es ist wichtig, die Mitarbeiter über die Bedrohung aufzuklären, z. B. ihnen beizubringen, wie sie Spitzen bei MFA-Anfragen erkennen und damit umgehen können, aber es ist nicht die einzige und vollständige Lösung.

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles