CyberArk: Multi-Faktor-Authentifizierung richtig konzipieren
MFA-Sicherheit kann Trugschluss sein
Fortsetzung des Artikels von Teil 1
Cookies und Protokolle
3. Browser-Cookies
Zu den beliebtesten Angriffszielen gehören Browser-Cookies, die nach einer Authentifizierung im Browser des Endbenutzers gespeichert werden. Solche Cookies sind nützlich, damit ein User sich nicht jedes Mal erneut bei der Nutzung einer Applikation anmelden muss, wenn er seinen Browser schließt.
Auf Windows-Systemen sind diese Cookies über die kryptografische Schnittstelle DPAPI (Data Protection Application Programming Interface) verschlüsselt. Im Wesentlichen ermöglicht DPAPI einem Nutzer einen einzigen API-Aufruf, um einen BLOB (Binary Large Object) zu verschlüsseln oder zu entschlüsseln, ohne dass lokale Administratorrechte nötig sind. In jeder Domain-Umgebung gibt es einen Domain-weiten Backup-Schlüssel, der jeden DPAPI-verschlüsselten BLOB entschlüsseln kann. Mittels Nutzung der Schnittstelle DPAPI ist es relativ einfach möglich, die Browser-Cookies und Passwörter der User unter Verwendung ihrer eigenen Credentials durch den Aufruf einer einfachen Windows-API zu entschlüsseln. Und durch die Zugriffsmöglichkeit auf die Domain-Schlüssel lässt sich ein Angriff aus der Ferne auf alle Benutzer und Rechner in einer Domäne ausweiten.
4. Zugriffsprotokolle
Wenn ein Zugriff auf kritische Ressourcen über mehrere Kanäle möglich ist, unterlassen es Unternehmen oft, die sekundären Kanäle zu sichern. Viele Unternehmen nutzen MFA im Administratorenbereich für den Zugriff auf kritische Server über RDP (Remote Desktop Protocol). Wenn sich ein privilegierter Benutzer per RDP bei einem Server anmeldet, ruft das Windows-Betriebssystem eine MFA-Anwendung zur Verifizierung des Anmeldeversuchs auf. Das heißt: Ein Angreifer, der sich einen Administrator-Benutzernamen und ein Passwort für den Server verschafft, wird immer noch daran gehindert, über RDP auf den Server zuzugreifen.
Dabei vergessen allerdings einige Betreiber, dass RDP nur eine unter vielen Zugriffsvarianten ist. In AD (Active Directory)-Umgebungen etwa sind Remote-Management-Ports standardmäßig aktiviert. Und auf andere Protokolle wie SMB (Server Message Block) und RPC (Remote Procedure Call) kann man mit Tools wie PsExec oder Powershell zugreifen. Bei diesen Protokollen erfolgt in der Regel keine Zwei-Faktor-Authentifizierung, da die meisten MFA-Module eine nicht-interaktive Kommunikation nicht abdecken. Ein Angreifer wäre deshalb in der Lage, sich nur mit einem Benutzernamen und einem Passwort anzumelden und Zugriff auf den Server zu erlangen.
„Ohne Zweifel ist MFA eine wesentliche Sicherheitsmaßnahme. Wie bei jeder Sicherheitslösung kommt es aber auf das richtige Design und die richtige Implementierung an“, betont Christian Götz, Director of Presales – DACH bei CyberArk. „Vor allem aber muss MFA immer auch im Kontext einer ganzheitlichen, mehrschichtigen Identity-Security- und Zero-Trust-Strategie gesehen werden, einschließlich eines Privileged-Access-Managements mit Session-Isolierung und Credential Management. Nur eine End-to-End-Sicherheit kann ein Unternehmen zuverlässig vor Angriffen schützen.“
- MFA-Sicherheit kann Trugschluss sein
- Cookies und Protokolle
Lesen Sie mehr zum Thema
