wladimir1804 - stock.adobe.com

Post-Authentication-Angriffe: Eine Bedrohung der Sicherheit

Anwender in Unternehmen sind zunehmend durch Multifaktor-Authentifizierung besser gesichert. Aber was ist mit Angriffen, die nach einer erfolgreichen Anmeldung ansetzen?

Traditionell haben sich Angreifer auf Pre-Authentication-Taktiken wie Phishing und das Knacken von Passwörtern konzentriert, um unbefugten Zugriff zu erlangen. Doch mit der zunehmenden Verbreitung und Wirksamkeit von Multifaktor-Authentifizierung (MFA) hat sich der Fokus der Angreifer auf Post-Authentication-Attacken verschoben, die Schwachstellen ausnutzen, die nach einer erfolgreichen Anmeldung auftreten.

Diese Entwicklung zeigt die signifikanten Fortschritte bei der Absicherung des Authentifizierungsprozesses. MFA ist inzwischen weit verbreitet und macht Pre-Authentication-Angriffe für Angreifer deutlich schwieriger. Doch während diese Abwehrmechanismen gestärkt wurden, richten Angreifer ihre Aufmerksamkeit auf verbleibende Schwachstellen – insbesondere auf Webbrowser und Sitzungs-Tokens.

Wie Post-Authentication-Angriffe entstehen

Wenn sich ein Nutzer bei einem Onlinedienst anmeldet, wird seinem Gerät ein Sitzungs-Token zugewiesen, das es ihm ermöglicht, während der Nutzung des Dienstes eingeloggt zu bleiben. Diese Tokens, die oft als Cookies im Browser gespeichert werden, können lange bestehen bleiben und sind anfällig für Diebstahl. Selbst bei starker Authentifizierung können Angreifer durch den Diebstahl eines Sitzungs-Tokens gegebenenfalls die MFA umgehen und unbefugten Zugriff erlangen.

Arten von Post-Authentication-Angriffen

Angreifer verwenden verschiedene Methoden, um Sitzungs-Tokens zu stehlen. Zu den gängigsten gehören:

1. Malware-Angriffe

Angreifer nutzen Schadsoftware, um die Geräte ihrer Opfer zu infizieren. Diese Malware kann direkt auf Sitzungscookies zugreifen, die auf dem Gerät gespeichert sind, und diese an den Angreifer übermitteln.

Einmal auf dem Gerät, kann die Malware auch Browserdaten durchsuchen, Netzwerkverkehr abfangen oder sogar den Arbeitsspeicher des Systems durchsuchen, um Tokens zu extrahieren.

2. Phishing-Angriffe:

Obwohl MFA viele traditionelle Phishing-Angriffe erschwert, gibt es immer noch Möglichkeiten, Nutzer dazu zu bringen, ihre Sitzungs-Tokens preiszugeben.

Mit Hilfe von KI erstellen Angreifer hochgradig überzeugende Phishing-Seiten, die fast identisch mit echten Login-Seiten sind. Diese Seiten können Nutzer täuschen und dazu bringen, ihre Anmeldeinformationen oder Sitzungs-Tokens preiszugeben.

3. Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF):

Bei XSS-Angriffen injizieren Angreifer schädlichen Code in eine Website oder Webanwendung, den ein Opfer unwissentlich ausführt. Dieser Code kann genutzt werden, um Sitzung-Tokens zu stehlen.

Götz Walecki, Okta

„Der Anstieg von Post-Authentication-Angriffen bringt zwar neue Herausforderungen mit sich, unterstreicht aber auch die Fortschritte bei der MFA.“

Götz Walecki, Okta

CSRF-Angriffe nutzen die bestehende Sitzung eines Nutzers aus, um schädliche Anfragen an eine Website zu senden, die in der Lage sind, die Kontrolle über Sitzung-Tokens zu erlangen.

4. Angriffe durch bösartige Browser-Erweiterungen:

Minianwendungen, die als Browsererweiterungen installiert werden, können schädlich sein und Sitzung-Tokens direkt aus dem Browser abfangen.

Selbst Erweiterungen, die in offiziellen Browser-Stores wie dem Chrome Web Store erhältlich sind, können schädlich sein. Solche Erweiterungen sollten nur installiert werden, wenn sie wirklich notwendig sind.

Strategien zum Verhindern von Post-Authentication-Angriffen

Trotz der wachsenden Bedrohung durch Post-Authentication-Angriffe gibt es mehrere Strategien, die das Risiko mindern können:

1. Verschlüsselung und sichere Kommunikation: Alle Kommunikationswege sollten durchgehend verschlüsselt sein, und Sitzung-Tokens müssen sicher gespeichert werden, um das Risiko des Abfangens oder Diebstahls zu minimieren.

2. IP-Adressüberwachung: Durch das Überwachen von Änderungen der IP-Adressen während einer Sitzung können verdächtige Aktivitäten erkannt werden. Eine automatische Abmeldung bei einem IP-Wechsel kann Angreifer blockieren, die ein Sitzungstoken in einem anderen Netzwerk verwenden.

3. Verwaltung von Sitzungs-Token: Die Lebensdauer von Sitzungs-Token, insbesondere bei Administratorkonten, sollte begrenzt und regelmäßige Logouts sollten durchgeführt werden, um Sicherheitsrisiken zu minimieren. Ein effektiver Schutzmechanismus ist das ASN Binding, das sicherstellt, dass Sitzungstokens nur innerhalb eines bestimmten autonomen Systems (ASN) gültig sind. Bei Erkennung verdächtiger Aktivitäten, wie einer Änderung der IP-Adresse oder des ASN während einer Sitzung, sollte eine sofortige Abmeldung des Benutzers erfolgen, um potenzielle Angriffe abzuwehren. Die Überwachung der Token-Nutzung und die Implementierung von ASN Binding bieten zusätzlichen Schutz vor Angriffen und können entscheidend sein, um Schäden durch gestohlene Tokens zu verhindern. Sie erhöhen die Sicherheit, indem sie eine präzise Kontrolle über die Netzwerke ermöglichen, aus denen der Zugriff erfolgt.

4. Nutzeraufklärung und Browsersicherheit: Es ist wichtig, Benutzer über die Risiken von Phishing und bösartigen Browser-Erweiterungen aufzuklären. Die Durchsetzung der Nutzung aktueller Browser und zuverlässiger Antivirensoftware trägt ebenfalls zur Minimierung von Bedrohungen bei.

Der Anstieg von Post-Authentication-Angriffen bringt zwar neue Herausforderungen mit sich, unterstreicht aber auch die Fortschritte bei der MFA. Während Angreifer versuchen, Sitzungs-Tokens auszunutzen, entwickeln IT-Sicherheitsunternehmen fortlaufend innovative Sicherheitsmaßnahmen, um sich gegen diese sich entwickelnden Bedrohungen zu schützen. In dieser Cybersicherheitsschlacht ist es entscheidend, wachsam zu bleiben und die Sicherheitspraktiken kontinuierlich zu verbessern, um immer einen Schritt voraus zu sein.

Über den Autor:
Götz Walecki ist Director Solutions Engineering Central & Eastern Europe bei Okta.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close