Anatomie eines MFA-Bypass-Angriffs

Was ist ein MFA-Umgehungsangriff?

Ein Angriff zur Umgehung der Multi-Faktor-Authentifizierung (MFA) liegt vor, wenn ein Angreifer die MFA-Kontrollen eines Unternehmens erfolgreich umgeht, um sich unbefugten Zugang zu verschaffen. Authentifizierungsmethoden sind zwar ein wichtiger Teil der Prävention, aber sie halten Angreifer nicht immer vom Zugriff auf Konten ab. Angreifer können MFA-Anforderungen umgehen, um sich VPN-Zugang zu verschaffen, das Netzwerk auszuspähen, Benutzernamen und Kennwörter abzugreifen und schließlich sensible Daten zu exfiltrieren. 

Übliche MFA-Umgehungstechniken

Gängige Arten von MFA-Umgehungstechniken sind:

• Phishing Angriffe: Angreifer verwenden oft ausgeklügelte phishing Techniken, um Benutzer dazu zu bringen, ihre MFA-Anmeldedaten anzugeben.

• MFA-Ermüdungsangriffe: Der Angreifer überhäuft ein Opfer mit wiederholten MFA-Anfragen, bis der Benutzer eine davon genehmigt - entweder aus Gewohnheit oder aus Ermüdung.

• SIM-Austausch: Angreifer kapern die Telefonnummer eines Opfers, indem sie den Betreiber davon überzeugen, sie auf eine SIM-Karte in einem anderen Gerät zu übertragen. Diese Technik wird aufgrund der weit verbreiteten Nutzung der SMS-basierten Authentifizierung immer häufiger eingesetzt. 

• Session Hijacking: Der Angreifer übernimmt eine aktive Geschäftsanwendungssitzung, um die MFA-Methoden vollständig zu umgehen. Sobald er die Kontrolle über die Sitzung hat, kann er neue MFA-Geräte hinzufügen, Passwörter zurücksetzen und das gekaperte Konto verwenden, um sich im Unternehmensnetzwerk zu bewegen. 

• Ausnutzung von MFA-Schwachstellen: Angreifer finden eine Fehlkonfiguration oder andere Schwachstellen, in der Regel in integrierten OAuth- und Single Sign-On-Systemen (SSO), die es ihnen ermöglichen, den zweiten Authentifizierungsfaktor zu umgehen. 

Erkennung von Angreifern, die Ihre MFA umgehen

Fortschrittliche MFA-Lösungen, wie Sicherheitsschlüssel und biometrische Verifizierung, sind eine wichtige Komponente der Unternehmenssicherheit. Aber das ist noch nicht alles. Ebenso wichtig ist es, Ihre Umgebung auf verdächtige Aktivitäten zu überwachen, damit Sie einen MFA-Umgehungsangriff sofort erkennen können. 

Vectra AI nutzt mehr als 150 KI-gesteuerte Erkennungsmodelle, um zu erkennen, wann ein Angreifer MFA und andere präventive Kontrollen umgeht. Mit einer Abdeckung von mehr als 90 % MITRE ATT&CK und 11 Referenzen im MITRE D3FEND Framework - mehr als jeder andere Anbieter -erkennt Vectra AI gängige Techniken, die Cyberkriminelle zur Umgehung von MFA einsetzen, darunter:

• MFA-Fehlgeschlagene verdächtige Anmeldung
• MFA Deaktiviert
• Verdacht auf kompromittierten Zugang
• Anomalie in der Privilegienvergabe
• M365 Regel für verdächtige Börsentransporte

Bei einem simulierten Angriff, der mit einem gekauften VPN-Zugang begann, hat der Angreifer zum Beispiel:

• Erkundung des Netzes, um sich seitlich über RDP zu bewegen
• Benutzte gestohlene Anmeldeinformationen, um SharePoint und Quellcode zu infiltrieren
• Ein neues Administratorkonto für redundanten Zugriff erstellt und versucht, eine Transportregel für zukünftige Exfiltration zu erstellen
  

Mit Vectra AI wissen die Verteidiger jedoch, welche Entitäten betroffen sind, welche Oberflächen belegt sind und welche Maßnahmen zu ergreifen sind - und können die fraglichen Konten schnell sperren.

Sehen Sie, wie Vectra AI einen aktiven MFA-Umgehungsangriff aufgedeckt hat

Was passiert, wenn eine berüchtigte Gruppe von Cyberkriminellen MFA umgeht, Anmeldedaten stiehlt und sich seitwärts bewegt? Sehen Sie im Folgenden, wie die Gruppe Lapsus$ ransomware die MFA-Umgehung nutzt, um in Unternehmensnetzwerke einzudringen, und erfahren Sie, warum KI-gesteuerte Erkennungen für das Auffinden ähnlicher Angriffe entscheidend sind.