Um sich vor Angreifern gegen Identitätsdiebstahl zu schützen, gilt heute die Multifaktor-Authentifizierung (MFA) als Pflicht. Diese wird von den meisten Unternehmen eingesetzt. Aber auch Angreifer entwickeln sich weiter und suchen laufend nach neuen Methoden und Möglichkeiten, Zugriff auf Unternehmensdaten und Ressourcen zu erhalten.
Vor kurzem hat das Microsoft Detection and Response Team (DART) eine Zunahme von Angreifern beobachtet, die Token-Diebstahl zu diesem Zweck nutzen. Durch die Kompromittierungen und die Entwendung eines Tokens, das bereits mittels MFA-Authentifizierung bestätigt wurde, ist es einem Angreifer möglich von einem fremden Gerät auf Unternehmensdaten zuzugreifen. Dies, obwohl eine MFA Authentifizierung notwendig wäre.
Diese neue Taktik ist besorgniserregend. Für die Entwendung eines Tokens ist ein geringes Fachwissen erforderlich und eine Entwendung sehr schwer zu erkennen. Zurzeit verfügen nur wenige Unternehmen in ihrem Vorfallreaktionsplan Massnahmen zur Token-Diebstahl-Minderung.
Details zu dieser Variante sind im folgenden Microsoft Artikel ersichtlich:
How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog
Eine weitere Variante, wie sich Angreifer aktuell Zugriff verschaffen, sind sogenannte «MFA Fatigue Attacken». Bei diesem Angriff erstellt der Angreifer so viele MFA-Anfragen, bis der User aus Versehen oder genervt von den vielen Anfragen eine bestätigt.
Microsoft hat dazu entsprechende Empfehlungen zusammengestellt. Diese haben wir Ihnen im Anschluss zusammengefasst:
Protect:- Zugriff nur von verwalteten Geräten (Hybrid AD-Joined, Intune Managed/Compliant) erlauben
- SignIn Frequency reduzieren
- Microsoft Defender for Cloud Apps verwenden
- Phishing resistant MFA solutions anwenden (FIDO2, Windows Hello for Business, Certificate based Authentication )
- Separierte Accounts für Admins
- Risk User/SignIn Alerting von Identity Protection (anomalous token event)
- Microsoft Defender for Cloud Apps
- Alerting für Mailbox Rule creation (Forwarding/Permissions)
- Privileged Identity Management (PIM)
- Security Information and Event Management (SIEM)
Analysieren Sie diese Massnahmen basierend auf den Anforderungen und dem Schutzbedarf. Als minimale Schutzmassnahme empfiehlt BitHawk die folgenden Anpassungen oder Einstellungen:
- Persistent browser session auf Never persistent setzen
- Deaktivieren der Phone call Option für MFA
- Aktivieren von Number matching für Push Notification
Sie erreichen uns unter marketing@bithawk.ch oder 058 226 01 01.