Ist die Zweifaktor-Authentisierung gehackt?

Als Ausweg aus der Passwort-Hölle wird die Zweifaktor-Authentisierung angepriesen. Dabei kommen Token-Generatoren, SMS-TANs oder ähnliche Techniken zum Einsatz. Aber ist das wirklich so sicher, wie die Anbieter behaupten?

Sicherheitsforscher haben einen Man-in-the-Middle-Angriff ausgeknobelt, mit dem sie dieses System austricksen. Die Grundidee gibt es schon seit vielen Jahren: Ein Proxy-Server schaltet sich zwischen Client und Server. In dieser Position fängt er die Kommunikation nach beiden Seiten ab und verfälscht sie für die Zwecke der Angreifer.

So kann der Angreifer zum Beispiel die Anforderung einer TAN vom Server zum Opfer durchleiten, die vom Opfer eingegebene TAN dann aber abfangen und für eigene Zwecke verwenden.

Der Angriff ist aufwändig und war bisher schwer durchzuführen. Zudem gibt es wirksame Gegenmaßnahmen. Aber das hat sich gründlich geändert. Seit Mai 2019 stehen zwei automatisierte Angriffswerkzeuge auf GitHub bereit, die die Zweifaktor-Authentifizierung automatisiert aushebeln und ausnutzen.

Muraena ist ein Reverse-Proxy, der die Session des Benutzers kapert und den zweiten Faktor abfängt. Dieses Modul spielt dem Benutzer einen legitimen Server vor.

Komplementär dazu setzen die Angreifer das zweite Modul ein: den Necrobrowser. Diese Software übernimmt auf dem Rechner des Angreifers die Credentials von Muraena und spielt nun damit dem Server den Browser eines legitimen Nutzers vor. Dieser Aufbau lässt sich hinreichend schnell etablieren, dass damit gängige Zweifaktor-Authorisierungen automatisiert abgefangen und übernommen werden können. Die Entwickler stellen fertig vorkonfigurierte Parameter für beliebte Plattformen zur Verfügung. Wir sind sicher: gerade in diesem Moment arbeiten kriminelle Experten daran, diese Angriffe praktisch auszunutzen.

Wie gefährlich ist dieser neue Angriff wirklich? Wie kann man sich davor schützen? Welche Konfigurationen sind damit angreifbar, welche sind noch sicher? Kann die Authentifizierung in Ihrem Unternehmen von der neuen Methode ausgehebelt werden? Das klären wir gerne in einem persönlichen Gespräch. Unsere Experten helfen Ihnen gerne weiter, Anruf genügt.