Multi-Faktor-Authentifizierung (MFA) wurde entwickelt, um die Sicherheit zu erhöhen, indem ein zweiter Faktor erforderlich ist, selbst wenn die Zugangsdaten eines Kontos kompromittiert wurden. Angreifer umgehen diesen Schutz jedoch inzwischen, indem sie Benutzer durch eine Technik namens MFA Prompt Bombing dazu manipulieren, bösartige Anmeldeanfragen zu genehmigen. Organisationen, die push-basierte MFA verwenden, sind besonders anfällig. Tools wie **Specops Secure Access** sind darauf ausgelegt, diese Bedrohung zu mindern. Lassen Sie uns untersuchen, wie diese Technik funktioniert. ## Wie MFA Prompt Bombing funktioniert Dieser Angriff beruht auf drei Schlüsselelementen: * Gültige Kontozugangsdaten, die oft aus kompromittierten Passwortdatenbanken stammen. * Ein Anmeldeportal, das push-basierte MFA nutzt, wie z. B. ein VPN, **Microsoft 365**, **Okta** oder **Duo**. * Ein Ziel, das Benachrichtigungen für jeden Anmeldeversuch erhält. Angreifer überfluten das Ziel mit MFA-Anfragen und hoffen, dass es schließlich entweder versehentlich oder aus Frustration eine davon genehmigt. Diese Taktik wird oft mit Vishing-Anrufen (Voice Phishing) kombiniert, bei denen Angreifer sich als IT-Support ausgeben, um das Ziel sozial zu manipulieren, die Anfrage zu genehmigen. Die Gefahr besteht darin, dass der Angreifer nur einmal erfolgreich sein muss. Sobald eine Anfrage genehmigt ist, erhält der Angreifer Zugriff als legitimer Benutzer. Da die Anmeldung legitim erscheint, werden Sicherheitssysteme wahrscheinlich keine Warnung ausgeben. ## Die **Cisco**-Breach Der **Cisco**-Vorfall im Jahr 2022 zeigt die Wirksamkeit dieser Technik. Ein Angreifer, der mit der **Yanluowang**-Ransomware-Gruppe in Verbindung gebracht wurde, kompromittierte das persönliche **Google**-Konto eines **Cisco**-Mitarbeiters und erhielt Zugriff auf im Browser gespeicherte Anmeldedaten, einschließlich des **Cisco** VPN-Passworts. Der Angreifer initiierte dann MFA-Anfragen an das Telefon des Mitarbeiters. Zunächst erfolglos, griff er zu Vishing-Anrufen und gab sich als vertrauenswürdiges Supportpersonal mit verschiedenen Akzenten aus, wodurch er den Mitarbeiter schließlich überzeugte, eine Push-Benachrichtigung zu genehmigen. Dies verschaffte dem Angreifer VPN-Zugriff als der Mitarbeiter. Er registrierte dann seine eigenen Geräte für MFA-Persistenz, eskalierte Berechtigungen, griff auf **Citrix**-Server und Domänencontroller zu und exfiltrierte etwa 2,8 GB Daten, bevor er entdeckt wurde. Der Erfolg von Prompt Bombing gegen **Cisco**, ein Unternehmen mit einer robusten Sicherheitslage, unterstreicht seine potenzielle Gefahr. ## Warum Push MFA das Risiko nicht eliminiert Push-basierte MFA stellt eine Herausforderung dar, da Benutzer nur begrenzte Informationen haben, wenn sie eine Anmeldung genehmigen oder ablehnen. Ihnen fehlen klare Details über den Ursprung der Anfrage, das verwendete Gerät oder ob sie den Anmeldeversuch initiiert haben. Während dies isoliert betrachtet beherrschbar ist, können wiederholte Anfragen dazu führen, dass Benutzer von einer Systemfehlfunktion ausgehen, anstatt einen potenziellen Angriff zu erkennen. In Verbindung mit einem gut getimten Anruf eines gefälschten IT-Supportmitarbeiters wird die Situation noch komplexer. Der Benutzer, der glaubt, auf eine legitime Anfrage zu antworten, gewährt unwissentlich einem Angreifer Zugriff, der bereits seine Zugangsdaten besitzt. ## 3 Wege zur Verhinderung von Prompt Bombing ### 1. Ermüdungs- und Phishing-resistente MFA-Faktoren verwenden Push-Benachrichtigungen sind die schwächste Form der MFA. Phishing-resistente Faktoren, wie FIDO2-Sicherheitsschlüssel (**YubiKey**), Hardware-Token oder Nummernvergleichscodes von Authentifizierungs-Apps, sind schwieriger auszunutzen. **Specops Secure Access** unterstützt über 15 Identitätsanbieter und bietet ermüdungsresistente Optionen für Windows-Anmeldung, RDP und VPN-Verbindungen, sodass Organisationen Push-only-MFA für risikoreiche Zugriffspunkte ersetzen können.  ### 2. Kompromittierte Passwörter an der Quelle blockieren Prompt Bombing beruht darauf, dass Angreifer gültige Passwörter besitzen. Das kontinuierliche Scannen von **Active Directory (AD)** gegen eine Live-Datenbank kompromittierter Passwörter und das Erzwingen von Zurücksetzungen bei Übereinstimmungen eliminiert die Grundlage für den Angriff. Standard-AD-Passwortrichtlinien reichen nicht aus, um wiederverwendete, inkrementelle oder kompromittierte Passwörter zu erkennen. **Specops Password Auditor** bietet einen kostenlosen, schreibgeschützten Scan Ihres AD, der Schwachstellen wie kompromittierte Passwörter oder inaktive Admin-Konten identifiziert.  ### 3. Risikosignale zur Anmeldung hinzufügen Bedingte Zugriffsrichtlinien, die Faktoren wie Geografie, Gerätehaltung und Anmeldezeiten berücksichtigen, können eine zusätzliche Authentifizierung blockieren oder erfordern, bevor eine Anfrage an den Benutzer gesendet wird. Dies reduziert die Abhängigkeit vom Benutzerverhalten und führt Echtzeitkontext ein, um zu verhindern, dass verdächtige Anmeldungen zu einer Kompromittierung des Kontos führen. ## MFA ist weiterhin wichtig MFA Prompt Bombing macht MFA nicht ungültig, hebt aber die Einschränkungen bestimmter Faktoren hervor. Wenn Genehmigungsanfragen wiederholt und ohne Kontext ausgelöst werden können, wird die Kontrolle anfällig für Manipulationen. Wenn Push-Benachrichtigungen Ihr standardmäßiger zweiter Faktor sind, überdenken Sie diese Entscheidung. Nummernvergleich oder Phishing-resistente Methoden verbessern die MFA, während das Scannen auf kompromittierte Passwörter das Risiko reduziert, dass Angreifer den ersten Zugriff erhalten. Erkunden Sie robustere MFA-Lösungen, um Ihre Identitätssicherheit zu stärken.