{"id":271189,"date":"2022-08-04T11:08:27","date_gmt":"2022-08-04T09:08:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271189"},"modified":"2023-01-17T08:41:08","modified_gmt":"2023-01-17T07:41:08","slug":"microsoft-findet-aitm-phishing-kampagne-die-auch-2fa-aushebelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/04\/microsoft-findet-aitm-phishing-kampagne-die-auch-2fa-aushebelt\/","title":{"rendered":"Microsoft findet AiTM-Phishing-Kampagne, die auch 2FA aushebelt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kleiner Nachtrag in Sachen Sicherheit bei Online-Konten mittels Zwei-Faktor-Authentifizierung (2FA). Microsofts Sicherheitsteams sind auf eine gro\u00df angelegte AiTM-Phishing-Kampagne gesto\u00dfen, bei der seit September 2021 versucht wurde, mehr als 10.000 Organisationen anzugreifen. Bei der Kampagne wurden Passw\u00f6rter gestohlen, die Anmeldesitzung der Benutzers entf\u00fchrt und der Authentifizierungsprozess \u00fcbersprungen. Das galt auch, falls der Benutzer die Multifaktor-Authentifizierung (MFA) aktiviert hatte. Die Angreifer nutzten dann die gestohlenen Anmeldedaten und Sitzungscookies, um auf die Postf\u00e4cher der betroffenen Benutzer zuzugreifen und weitere BEC-Kampagnen (Business Email Compromise) gegen andere Ziele durchzuf\u00fchren.<\/p>\n

<\/p>\n

\"\"Die 2FA gilt ja in vielen Kreisen als \"Goldstandard\", bei dem wenig schief gehen kann. Zumindest vermittelt es das Gef\u00fchl, \"gut gesichert zu sein\". Ich hatte hier im Blog Dezember 2020 im Beitrag Buch: Hacking Multifactor Authentication<\/a> einen Buchtitel vorgestellt, der ganz klar aufzeigt, dass auch MFA irgendwie gehackt oder ausgehebelt werden kann. Zitat aus meinem damaligen Blog-Beitrag:<\/p>\n

Es gibt eine gute und viele schlechte Nachrichten. Die gute Nachricht: Es gibt jetzt ein Buch, welches die diversen M\u00f6glichkeiten beschreibt, um Sicherheitsfunktionen zu umgehen und Systeme zu hacken. Die schlechte Nachricht lautet nach dem Querlesen des Buches: Alles ist hackbar und Multifactor Authentifizierung ist oft nicht das Papier wert, auf dem der Begriff gedruckt ist. Das Einzige, was Sicherheitsverantwortliche tun k\u00f6nnen: Sich die m\u00f6glichen Angriffswege anzuschauen und die potentiellen Fehlerquellen oder Schwachstellen bestm\u00f6glich zu eliminieren bzw. zu entsch\u00e4rfen.<\/p><\/blockquote>\n

Das ging mir sofort im Hinterkopf herum, als ich die Tage erste Meldungen zur oben genannten Problematik gesehen<\/a> habe, denn der Beitrag From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud<\/a> des Microsoft 365 Defender Research Teams stammt bereits vom 12. Juli 2022.<\/p>\n

\"AiTM-Phishing\"<\/a><\/p>\n

Das Thema ist die letzten Tage in IT-Medien aufgegriffen worden, siehe z.B. The Hacker News<\/a>, Bleeping Computer<\/a> (dort wird sich auf Erkenntnisse von ZScaler<\/a> bezogen) und weitere. Ein Blog-Leser hatte im Diskussionsbereich ebenfalls auf das Thema hingewiesen (danke daf\u00fcr).<\/p>\n

Gro\u00dfe AiTM-Phishing-Kampagne<\/h2>\n

In ganz kurz: Microsoft ist \u00fcber seine (Defender-)Telemetrie auf die gro\u00df angelegte Phishing-Kampagne, die AiTM-Phishing-Seiten (Adversary-in-the-Middle) nutzte, gesto\u00dfen. Bei AiTM (Adversary-in-the-Middle) schalten Angreifer einen Proxy-Server zwischen einen Zielbenutzer und die Website, die der Benutzer besuchen m\u00f6chte. ZScaler, die von Bleeping Computer zitiert werden, haben festgestellt<\/a>, dass dazu Vertipper-Domains registriert werden, muss aber nicht sein.<\/p>\n

\"Phishing
\nPhishing Landing-Page, Quelle: Microsoft<\/p>\n

Die Phisher verschicken dann in einer Kampagne Phishing-Mails, die den Benutzer auf die betreffende Proxy-Seite leitet, wo die Anmeldedaten und Sitzungs-Cookies der echten Zielseite abgezogen werden. \u00dcber das per AiTM-Phishing gestohlene Sitzungs-Cookie kann der Angreifer sich f\u00fcr eine Sitzung im Namen des Benutzers authentifizieren. Das ist unabh\u00e4ngig davon, welche Anmeldemethode der Benutzer verwendet, also auch 2FA hilft nicht.<\/p>\n

Prim\u00e4res Ziel sind (laut ZScaler) wohl Unternehmen, die E-Mail-Dienste von Microsoft nutzen, wobei Branchen wie FinTech, Kreditwesen, Versicherungen, Energie und Fertigung in Regionen wie USA, Gro\u00dfbritannien, Neuseeland und Australien als Ziel genannt wurden. Diese Kampagne begann im Juli 2022 und ist wohl noch aktiv. In einigen F\u00e4llen wurden die gesch\u00e4ftlichen E-Mails von F\u00fchrungskr\u00e4ften durch diesen Phishing-Angriff kompromittiert und sp\u00e4ter zum Versand weiterer Phishing-E-Mails im Rahmen derselben Kampagne verwendet.<\/p>\n

Dieser Angriff ist nicht neu, aber Microsoft hat in seinem Beitrag<\/a> die Vorgehensweise samt den verwendeten Tricks, sowie die Folgeaktivit\u00e4ten der Angreifer analysiert. Die Angreifer zielten auf Cloud-Konten, um diese f\u00fcr ihre Zwecke zu kompromittieren. Microsoft schreibt, dass der Microsoft 365 Defender verd\u00e4chtige Aktivit\u00e4ten im Zusammenhang mit AiTM-Phishing-Angriffen und deren Folgeaktivit\u00e4ten erkennen und ggf. das Stehlen von Authentifizierungsdaten (Cookies) unterbinden kann.<\/p>\n

Um sich jedoch noch besser vor \u00e4hnlichen Angriffen zu sch\u00fctzen, schl\u00e4gt Microsoft vor, dass Unternehmen auch in Betracht ziehen sollten, MFA durch bedingte Zugriffsrichtlinien (conditional access policies) zu erg\u00e4nzen, bei denen Anmeldeanfragen anhand zus\u00e4tzlicher identit\u00e4tsbezogener Signale wie Benutzer- oder Gruppenzugeh\u00f6rigkeit, IP-Standortinformationen und Ger\u00e4testatus etc. ausgewertet werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Kleiner Nachtrag in Sachen Sicherheit bei Online-Konten mittels Zwei-Faktor-Authentifizierung (2FA). Microsofts Sicherheitsteams sind auf eine gro\u00df angelegte AiTM-Phishing-Kampagne gesto\u00dfen, bei der seit September 2021 versucht wurde, mehr als 10.000 Organisationen anzugreifen. Bei der Kampagne wurden Passw\u00f6rter gestohlen, die Anmeldesitzung der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271189","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271189"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271189\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}