Mandiant warnt vor neuen Taktiken von APT29
Russische Hacker zielen auf Microsoft 365
Fortsetzung des Artikels von Teil 1
MFA als Angriffsvektor
Auch MFA kann APT29 als Angriffsvektor dienen. Eigentlich ist die Multi-Faktor-Authentifizierung ein wichtiges Instrument, um die Übernahme von Konten durch Bedrohungsakteure zu vereiteln. Indem sie von den Nutzern verlangen, dass sie sowohl etwas angeben, was sie wissen, als auch etwas, was sie besitzen, können Unternehmen das Risiko einer Kontokompromittierung erheblich reduzieren. MFA ist jedoch kein Patentrezept, warnt der Security-Anbieter. So können Bedrohungsakteure Push-Notification-basierte MFA missbrauchen, um Benutzer mit Benachrichtigungen zu überhäufen, bis sie schließlich eine Aufforderung akzeptieren und so dem Bedrohungsakteur Zugriff verschaffen. Diese Angriffsart nennt sich „MFA Fatigue Attack“, also „MFA-Erschöpfungsangriff“. Microsoft hat kürzlivch angekündigt, dass es MFA-Push-Benachrichtigungen mit Nummernabgleich einführen wird, um diese Angriffsvariante zu bekämpfen.
Mandiant beobachtet zudem einen weiteren Trend: Bedrohungsakteure wie APT29 nutzen den Selbstregistrierungsprozess für MFA im Azure Active Directory und anderen Plattformen aus. Das Vorgehen beschreiben die Security-Spezialisten wie folgt: Etabliert eine Organisation erstmals MFA, erlauben die meisten Plattformen den Benutzern, ihr erstes MFA-Gerät bei der nächsten Anmeldung zu registrieren. Dies ist häufig der von Organisationen gewählte Arbeitsablauf für die Einführung von MFA. In der Standardkonfiguration von Azure AD und anderen Plattformen gibt es keine zusätzlichen Durchsetzungsmaßnahmen für den MFA-Anmeldungsprozess. Mit anderen Worten: Jeder, der den Benutzernamen und das Kennwort kennt, kann von jedem Ort und jedem Gerät aus auf das Konto zugreifen, um sich für die MFA zu registrieren – solange er nur die erste Person ist, die dies tut.
In einem Fall führte APT29 laut Mandiant einen Password-Guessing-Angriff (Erraten von Passwörtern) auf eine Liste von Mailboxen durch, die sie auf unbekanntem Wege erhalten hatten. Die Gruppe erriet das Passwort eines Kontos, das ein Unternehmen zwar eingerichtet, aber nie genutzt hatte. Da das Konto inaktiv war, forderte Azure AD nun APT29 auf, sich bei MFA zu registrieren. Nach der Registrierung konnte APT29 das Konto verwenden, um auf die VPN-Infrastruktur des Unternehmens zuzugreifen, die Azure AD für die Authentifizierung sowie MFA nutzte.
Mandiant empfiehlt Unternehmen deshalb, unbedingt sicherzustellen, dass für alle aktiven Konten mindestens ein MFA-Gerät registriert ist. Zudem sollten Unternehmen mit ihrem Plattformanbieter zusammenzuarbeiten, um den MFA-Registrierungsprozess um zusätzliche Kontrollmechanismen zu ergänzen.
Microsoft Azure AD hat kürzlich eine Funktion eingeführt, die es Unternehmen ermöglicht, Kontrollmechanismen für bestimmte Aktionen wie die Registrierung von MFA-Geräten einzurichten: Mittels Conditional Access können Organisationen die Registrierung von MFA-Geräten auf vertrauenswürdige Orte wie das interne Netzwerk oder vertrauenswürdige Geräte beschränken.
Weitere Informationen bieten diese beiden Blog-Posts von Mandiant:
https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft und
https://www.mandiant.com/resources/blog/russian-targeting-gov-business.
- Russische Hacker zielen auf Microsoft 365
- MFA als Angriffsvektor
Lesen Sie mehr zum Thema
