Token-Diebstahl, die neue Eingangstür für Angreifer

Um sich vor Angreifern gegen Identitätsdiebstahl zu schützen, gilt heute die Multifaktor-Authentifizierung (MFA) als Pflicht. Diese wird von den meisten Unternehmen eingesetzt. Aber auch Angreifer entwickeln sich weiter und suchen laufend nach neuen Methoden und Möglichkeiten, Zugriff auf Unternehmensdaten und Ressourcen zu erhalten.

Vor kurzem hat das Microsoft Detection and Response Team (DART) eine Zunahme von Angreifern beobachtet, die Token-Diebstahl zu diesem Zweck nutzen. Durch die Kompromittierungen und die Entwendung eines Tokens, das bereits mittels MFA-Authentifizierung bestätigt wurde, ist es einem Angreifer möglich von einem fremden Gerät auf Unternehmensdaten zuzugreifen. Dies, obwohl eine MFA Authentifizierung notwendig wäre.

Diese neue Taktik ist besorgniserregend. Für die Entwendung eines Tokens ist ein geringes Fachwissen erforderlich und eine Entwendung sehr schwer zu erkennen. Zurzeit verfügen nur wenige Unternehmen in ihrem Vorfallreaktionsplan Massnahmen zur Token-Diebstahl-Minderung.

Details zu dieser Variante sind im folgenden Microsoft Artikel ersichtlich:
How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog

Eine weitere Variante, wie sich Angreifer aktuell Zugriff verschaffen, sind sogenannte «MFA Fatigue Attacken». Bei diesem Angriff erstellt der Angreifer so viele MFA-Anfragen, bis der User aus Versehen oder genervt von den vielen Anfragen eine bestätigt.

Microsoft hat dazu entsprechende Empfehlungen zusammengestellt. Diese haben wir Ihnen im Anschluss zusammengefasst:

Protect:

Zugriff nur von verwalteten Geräten (Hybrid AD-Joined, Intune Managed/Compliant) erlauben
SignIn Frequency reduzieren
Microsoft Defender for Cloud Apps verwenden
Phishing resistant MFA solutions anwenden (FIDO2, Windows Hello for Business, Certificate based Authentication )
Separierte Accounts für Admins

Detect:

Risk User/SignIn Alerting von Identity Protection (anomalous token event)
Microsoft Defender for Cloud Apps
Alerting für Mailbox Rule creation (Forwarding/Permissions)
Privileged Identity Management (PIM)
Security Information and Event Management (SIEM)

Analysieren Sie diese Massnahmen basierend auf den Anforderungen und dem Schutzbedarf. Als minimale Schutzmassnahme empfiehlt BitHawk die folgenden Anpassungen oder Einstellungen:

Persistent browser session auf Never persistent setzen
Deaktivieren der Phone call Option für MFA
Aktivieren von Number matching für Push Notification

Benötigen Sie Unterstützung bei den Abklärungen zu Ihrem Schutzbedarf oder in der Umsetzung von Massnahmen? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter und sind auch gerne bei anderen Fragen für Sie da.

Sie erreichen uns unter marketing@bithawk.ch oder 058 226 01 01.

Kostenlose Präsentation zu Microsoft Defender for Business

Weitere Themen auf unserem Blog

Panik, kein guter Ratgeber: Ist Ihr Business für IT-Notfälle gerüstet?

Modernes und hybrides Arbeiten
Mitarbeiter – Ihre beste Waffe gegen Phishing