Was ist ein Adversary-in-The-Middle-Angriff (AiTM)?

Wir alle haben schon einmal von einem "Man in the Middle"-Angriff (MiTM) gehört, und die meisten von uns sind mit dem Konzept eines Hackers vertraut, der sich zwischen zwei Parteien setzt, die glauben, dass sie direkt miteinander kommunizieren. In diesem Beitrag werden wir über Adversary in the Middle (AiTM)-Angriffe sprechen, bei denen dieselbe Taktik zum Einsatz kommt, aber ein böser Akteur das Verhalten des ahnungslosen Benutzers nachahmt und versucht, die Anmeldedaten und die Sitzungscookies aus dem Authentifizierungsabschnitt des Anmeldevorgangs zu stehlen. Heimtückisch. Über diese Art von Angriff wurde in den letzten Monaten viel gesprochen, und einige Kommentatoren bezeichneten ihn als den Angriff, mit dem die Authentifizierung umgangen werden kann oder der MFA (Multi-Faktor-Authentifizierung) überlistet werden kann. Natürlich hängt dies alles von der Architektur Ihrer MFA ab, wie wir noch zeigen werden.  

Wie funktioniert Adversary in The Middle (AiTM)?

AiTM geriet im Juli letzten Jahres in die Schlagzeilen der Cybersicherheitspresse, als das Microsoft 365 Defender Research Team über einen groß angelegten Angriff auf mehr als 10.000 Unternehmen berichtete, der auf Office 365-Nutzer abzielte, indem er die Office-Online-Authentifizierungsseite fälschte.

Die Hacker konnten die Anmeldesitzung der Nutzer kapern und den Authentifizierungsprozess vollständig überspringen. Dies geschieht durch den Einsatz eines Webservers, der die Anfragen des Benutzers an die Phishing-Site und wieder zurück weiterleitet. Auf dem Weg dorthin stiehlt der Angreifer das Authentifizierungs-Token von der echten Website. Der einzige Unterschied zwischen der "gefälschten" und der echten Website ist die URL - alles andere bleibt gleich. Der Angreifer kopiert lediglich die Informationen zwischen dem Benutzer und der echten Website hin und her. 

Phishing als Dienstleistung - Evilginx

Man muss es ihnen lassen - AiTM ist clever. Hacker werden immer raffinierter, und jeder, der im Cyberspace arbeitet, weiß, dass es sich wie ein Katz- und Mausspiel anfühlt. In dem Maße, in dem sich die Technologie und das Niveau und die Komplexität des Schutzes weiterentwickeln, ändern sich auch die Taktiken der bösen Akteure und sogar ihre eigenen Anwendungen, Tools und Programme. Adversary-in-the-Middle-Angriffe können sogar automatisiert werden. Es gibt Open-Source-Phishing-Toolkits wie Gophish, Evilginx2, Modlishka und Muraena, die praktisch "Phishing as a Service" anbieten. Mit diesem Toolkit kann jeder das Phishing von Anmeldedaten automatisieren. 

Widersacher in der Mitte Demonstration

Hier im IDEE-Hauptquartier stellen wir diese Dinge gerne auf die Probe. Wir haben Evilginx in die Finger bekommen und in unseren eigenen Penetrationstests versucht, Microsoft Authenticator und dann AuthN zu knacken. Unten finden Sie zwei Videos, eines zeigt den Angriff auf Microsoft Authenticator und das andere mit unserer eigenen AuthN MFA.

Gegen Microsoft Authenticator ist der Angriff effektiv, und Sie können sehen, wie das Token von dem ahnungslosen Benutzer gestohlen wird und wie der Hacker dieses leicht benutzen kann, um sich auf der echten Seite anzumelden, nachdem er auch den Benutzernamen und das Passwort des Benutzers erbeutet hat. Das Ganze wird erschreckend schnell ausgeführt.

In unserem zweiten Video haben wir es mit AuthN versucht. Sie können den Evilginx-Server, den Browser des Benutzers und den Authentifizierungsprozess Seite an Seite in Echtzeit beobachten. Mit AuthN gelingt es dem Angreifer nicht, den Benutzernamen, das Passwort oder den Sitzungs-Cookie zu erhalten, so dass er den Authentifizierungsprozess nicht umgehen kann. 

Video - Evilginx vs. Microsoft Authenticator

‍

Video - Evilginx vs. AuthN von IDEE 

(Erfolgreicher) Adversary-in-the-Middle-Angriff, Schritt für Schritt:

1. Der Angreifer setzt einen Proxyserver zwischen einem Ziel (Benutzer) und einer Website ein.
2. Der Proxy-Server fängt die Anmeldung des Benutzers Anmeldedaten (Benutzername und Passwort) und den Sitzungscookie ab. Sitzungscookies werden verwendet, um den Status einer Benutzersitzung nachzuweisen, so dass sich der Benutzer nicht bei jeder neuen Seite, die er auf der Website besucht, authentifizieren muss.
3. Das abgefangene Sitzungscookie wird in den Browser des Angreifers eingespeist, um auf das Benutzerkonto zuzugreifen, ohne dass eine Authentifizierung erforderlich ist, selbst wenn MFA aktiviert ist. Dies liegt daran, dass die Sitzungscookies der Website (Webserver) beweisen, dass der Benutzer bereits authentifiziert wurde und eine laufende Sitzung auf der Website hat. Infolgedessen ist keine weitere Authentifizierung erforderlich.

Die Auswirkungen eines erfolgreichen Phishing-Angriffs

Wie bei allen Phishing-Angriffen sind die wichtigsten Auswirkungen fast immer finanzielle Verluste und Rufschädigung. Dies geschieht nicht nur durch Zahlungsbetrug oder Ransomware, sondern kann auch durch Geschäftsunterbrechungen, Geldstrafen für die Nichteinhaltung von Vorschriften oder zusätzliche Auswirkungen auf Versicherungsprämien verursacht werden. Einem Bericht von IBM zufolge kosten Phishing-Angriffe Unternehmen im Jahr 2022 durchschnittlich 4,91 Millionen Dollar. Im Fall der von Microsoft aufgezeigten Angriffe begannen die Angreifer, nachdem sie sich Zugang zu E-Mail-Konten verschafft hatten, mit Zahlungsbetrugskampagnen, bei denen sie ihre Ziele mit gefälschten Rechnungen zu unrechtmäßigen Zahlungen verleiteten. Darüber hinaus konnten die Angreifer auch ihre Spuren verwischen. Mit vollem Zugriff auf E-Mails können die Angreifer Regeln hinzufügen, um ihre Kommunikation in Archivordnern zu verstecken und auch alle ursprünglichen Phishing-E-Mails zu löschen. Der eigentliche Kontoinhaber erfährt nichts davon.

Mit vollem Zugriff kann der Angreifer schließlich jede beliebige Aufgabe innerhalb des Kontos ausführen. Er kann Malware (z. B. Ransomware) installieren, Systeme sabotieren, Konten übernehmen oder einfach Daten oder geistiges Eigentum stehlen. 

Wie können sich Unternehmen vor AiTM schützen?

Die meisten Unternehmen glauben, dass jede MFA Schutz genug ist, und wir würden zustimmen, dass jede MFA besser ist als keine. In einem Vortrag, der kürzlich auf der Black Hat World gehalten wurde, zeigte sich, dass Experten davon ausgehen, dass etwa 90 bis 95 % der MFA durch Phishing umgangen werden können. Daher ist es wichtig zu erkennen, dass nicht alle MFA-Systeme vor allen Arten von Phishing und passwortbasierten Angriffen auf Anmeldeinformationen schützen können. Für einen umfassenden Schutz sollten Unternehmen nach einer phish-sicheren MFA suchen.

Wenn Sie mit uns über eines der in diesem Artikel angesprochenen Themen sprechen möchten, wenden Sie sich bitte an unsere MFA-Experten.