19.08.2020
Multi-Faktor-Authentifizierung
Sicherheitslücke in Microsofts MFA aufgedeckt
Autor: Alexandra Lindner
Nicescene / shutterstock.com
Sicherheitsforscher wollen eine Lücke in Microsofts MFA entdeckt haben. Bei einem Versuch gelang der Log-in mittels Hardware-Token, eine PIN-Eingabe wurde nicht gefordert. Microsoft sieht darin kein Sicherheitsrisiko, hat das Leck jedoch behoben.
Sicherheitsforscher haben eine Schwachstelle in der Multi-Faktor-Authentifizierung (MFA) von Microsoft entdeckt. Konkret geht es um eine fehlerhafte Implementierung der FIDO2- und WebAuthn-Unterstützung, wie Dominik Schürmann und Vincent Breitmos von Cotech herausgefunden haben wollen.
FIDO2 beziehungsweise WebAuthn ist ein offener Standard zur sicheren Authentifizierung bei Webseiten und Online-Diensten. Viele Anbieter von Internetdiensten haben den FIDO-Standard bereits übernommen und bieten ihren Nutzern damit mehr Sicherheit beim Log-in. Um sich beim jeweiligen Dienst anzumelden, ist damit ein Hardware-Token, wie beispielsweise der Security Key von Yubico, erforderlich. Für den Login muss vor allem der Hardware-Schlüssel physisch verfügbar sein. Je nach Hardware-Modell ist es zudem möglich, die Passwort- oder PIN-Eingabe durch einen Fingerabdruck-Scan auszutauschen. Die Kennung wird ausschließlich direkt auf dem Token gespeichert. Nicht aber beim betreffenden Dienst selbst.
Bei dem Versuch, sich auf microsoft.com anzumelden, habe der Dienst zwar überprüft, ob der Hardware-Key vorhanden sei. Ob der Nutzer jedoch eine PIN eingegeben hat, wurde nicht berücksichtigt. Wie die Wissenschaftler schreiben, erfolgte die Anmeldung per NFC im Vorbeigehen.
microsoft.com ist nicht auf MFA ausgelegt
Das Problem besteht darin, dass der Dienst laut Microsoft eigentlich nicht für eine MFA, sondern lediglich für eine Ein-Faktor-Authentifizierung ausgelegt sei. Diese kann auf Wunsch mittels Hardware-Token erfolgen. Ob bei der Anmeldung an einem Online-Dienst eine zusätzliche Kennnummer abgefragt wird, muss im jeweiligen Webseiten-Script festgelegt werden. Bei Microsoft war der entsprechende Wert schlicht nicht gesetzt.
Ihre Bedenken diesbezüglich definieren die Forscher deshalb genauer: Ob der Log-in per einfacher Authentifizierung oder MFA erfolgt, obliegt dem Server. Microsoft hatte im betreffenden Fall dem Browser übermittelt, eine MFA zu erlauben. Ob die PIN aber schlussendlich tatsächlich eingegeben wurde, wird nicht überprüft.
So wiegt sich der Nutzer im ungünstigsten Fall in falscher Sicherheit. Die Annahme, dass die Anmeldung nun mit einer generellen MFA abgesichert ist, sei hier schlicht nicht richtig.
Microsoft sieht in der gemeldeten Lücke kein Sicherheitsrisiko, heißt es. Behoben wurde das Leck dennoch.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
Erstes Quartal
CE-Absatz rückläufig, aber Smartphones legen wieder zu
Der Hemix für das erste Quartal 2024 zeigt eine starke Kaufzurückhaltung in vielen Bereichen. Eine Ausnahme sind Smartphones, bei denen Absatz und Umsatz zulegen konnten.
>>
FTTH
Easybell vermarktet jetzt auch Glasfaseranschlüsse
Die Berliner Easybell vermarktet jetzt auch Glasfaseranschlüsse für Privat- und Geschäftskunden. Die FTTH-Anschlüsse kommen dabei von der Telekom.
>>
Geschäftsführung
D-Link - Thomas von Baross geht
Lange Jahre war Thomas von Baross Geschäftsführer von D-Link Deutschland - nun verlässt er das Unternehmen. Seine Nachfolger kommen aus den eigenen Reihen.
>>