Die Zwei-Faktor-Authentifizierung (auch 2FA genannt) dient der zusätzlichen Sicherheit bei der Anmeldung, die sonst meist nur mit Passwort und Benutzername abgesichert ist. Zum Teil wird dafür auch die Multi-Faktor-Authentifizierung (MFA) benutzt. Bei einigen dieser Systeme zeigen sich nun Sicherheitslücken, die die Ransomwaregruppe Lapsus$ ausgenutzt hat. Opfer der Angriffe waren unter anderem Microsoft, Okta, Nvidia und Samsung.
Was dahinter steckt, erfahren Sie hier.
So funktioniert die Zwei- oder Multi-Faktor-Authentifizierung
Bei einer Authentifizierung über einen weiteren Faktor neben Passwort und Benutzernamen setzen viele Anbieter auf das Akzeptieren einer Push-Benachrichtigung einer entsprechenden App auf dem Smartphone. Andere lassen den Kunden auch einen Anruf empfangen, bei dem der Kunde eine bestimmte Taste als weiteren Faktor drücken muss.
Da es kein Limit für die Authentifizierungsversuche gibt, setzt die Gruppe Lapsus$ genau hier an.
Hacking über „MFA-Bombing“
Das sogenannte „MFA-Bombing“ bezeichnet einen Vorgang, bei dem der Angreifer so viele MFA-Anfragen an das entsprechende Gerät des Nutzers sendet, bis dieser die Authentifizierung akzeptiert. So erlangt ein Nichtberechtigter mit wenig Auffand Zugang zum Konto über ein von ihm neu registriertes Gerät.
„Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt, kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden“, schrieb angeblich ein Mitglied der Lapsus$-Gruppe in einem Chat.
Das grundsätzliche Vorgehen des „MFA-Bombing“ ist altbekannt. Umso erschreckender ist es, dass es so häufig funktioniert hat und das scheinbar sogar unbemerkt. So unter anderem auch bei Microsoft.
Schäden bei Microsoft, Okta, Nvidia und Samsung
Erst vor kurzem überprüften Microsoft und Okta unberechtigte Server-Zugriffe.
Microsoft bestätigte zunächst keine unberechtigten Zugriffe. Zunächst wurde davon ausgegangen, dass hier ein Repository mit Source Code von Azure DevOps Ziel der Angreifer war. Vor kurzem meldete Microsoft dann doch Angriffe, bei dem die Täter unter anderem ein großer Teil des Quellcodes von Bing, Bing Maps und Cortana veröffentlichten. Es handele sich insgesamt um 37 GByte aus 250 verschiedenen Softwareprojekten.
Okta wird als Identitäts- und Zugriffsmanagement-Dienstleister unter anderem von Cloudflare eingesetzt. Cloudflare berichtete zwar von dem Vorfall, versicherte aber, dass es keinen Anhaltspunkt für eine Kompromittierung gebe.
Sicherheitsforscher wiesen auch darauf hin, dass Ziel der Angreifer Daten von Okta-Kunden sein könnten. Es kursierten bereits angeblich geleakte interne Daten. Später bestätigte Okta, dass es bereits Ende Januar Zugriffsversuche gab. Wer der Angreifer war, konnte nicht geklärt werden, jedenfalls soll es seitdem keine weiteren Versuche gegeben haben.
Nvidia und Samsung erkannten bereits Schadcode, der mit einem Zertifikat von Nvidia signiert war, sodass Betriebssysteme diesem vertrauen. Von Nvidia haben die Angreifer angeblich 1 TByte an Daten abgegriffen. Nvidia reagierte mit einer Gegenattacke. Lapsus$ hatte aber bereits ein Backup der Daten erstellt, welche die Gruppe nach erfolglosen Erpressungsversuchen gegenüber Nvidia nun Stück für Stück veröffentlichen will. Die insgesamt 190 GByte erbeutete Daten von Samsung veröffentlichte die Gruppe über Torrents.
Wie groß das Schadenspotential für Kunden dieser Großkonzerne noch werden kann wird die Zeit zeigen. Bei Angriffen über legitime Accounts von Mitarbeitern ist es immer schwer zu sagen ob die Angreifer wirklich nicht mehr in den Netzwerken und komplexen Systeme der Konzerne Ihr Unwesen treiben oder sich dort für zukünftige Angriffe bereits Backdoors hinterlegt haben.
Wollen Sie Ihre Informationssicherheit in guten Händen wissen? Wenden Sie sich gerne an unser Team aus Experten!