Wirksamer Schutz gegen Token-Attacken

Ende des Jahres hatte Microsoft einen Sicherheitsbericht zur Bedrohungslage durch gestohlene Tokens veröffentlicht, in dem davor gewarnt wird, dass Angreifer verstärkt gegen Anmeldeverfahren durch Multi-Faktor-Authentifizierung (MFA) vorgehen. Ich empfehle eine vollständige Lektüre des oben genannten Microsoft-Blogbeitrags. Microsoft rät darin zu einem dreifachen Maßnahmenpaket beim Schutz gegen tokenbasierte Bedrohungen: 1. Absicherung, 2. Erkennung von Bedrohungen und 3. Reaktion und weitere Analyse. Mit verschiedenen PAM-Lösungen (Privilege Access Management) unterstützt BeyondTrust diese Microsoft-Empfehlungen und ergänzt sie zum Teil sogar. Unsere Best-Practice-Lösungen sind schnell implementierbar, um IT-Systeme zeitnah und zuverlässig schützen zu können.

Was sind Token-Attacken?

Diebstahl, Fälschung und Manipulation von Tokens sind Angriffstechniken, die häufig bei Cyberbedrohungen wie Advanced Persistent Threats (APT) eingesetzt werden. Hat ein Bedrohungsakteur erst einmal Zugriff auf ein Benutzersystem, besteht die reale Gefahr, dass Security-Tokens manipuliert, Berechtigungen auf einem kompromittierten Rechner erhöht oder durch Vortäuschung falscher Benutzeridentitäten andere Aktivitäten durchgeführt werden.

Aktuelle Remote-First-Strategien setzen bei der Authentifizierung von Nutzern hauptsächlich auf HTTPS-basierte Kommunikationsprozesse, für die OAuth 2.0-Tokens als primäre Zugriffsverfahren bei der Nutzung von Unternehmensressourcen zum Einsatz kommen. Die Fälschung oder der Diebstahl solcher Tokens sind daher Hauptangriffswege, um unberechtigten Zugriff auf IT-Ressourcen zu bekommen. Die Mehrzahl der Organisationen setzt beim Anmeldeprozess auf Multi-Faktor-Authentifizierung, so dass externe Attacken nur über gestohlene, gefälschte oder vervielfältigte Security-Tokens erfolgen können.

Häufige Token-Angriffsmethoden

Tokenbasierte Angriffe erfolgen hauptsächlich über Man-in-the-Middle-Attacken oder Pass-the-Cookie (PtC)-Angriffe. Bei diesen Angriffsszenarien ist es erforderlich, dass das Web-Endgerät oder der Browser des Benutzers durch Phishing, Malware oder andere Angriffe kompromittiert wurde.

Die besten Verteidigungsstrategien gegen tokenbasierte Bedrohungen

1. Sperren von Token-Zugriffen

Microsoft gibt mehrere Empfehlungen, wie der Zugriff eines Angreifers auf ein Token erschwert werden kann. Es empfiehlt sich aber noch einen Schritt weiter zu gehen und den Zugriff von Angreifern vollständig auszuschließen. Lösungen wie BeyondTrust Password Safe und Privileged Remote Access implementieren RemoteApps- und WebJump-Technologien, um privilegierte Tokens physisch vom Desktop des Endbenutzers sowie der AitM- (Adversary in the Middle) und PtC-Malware inklusive dazugehöriger Phishing-Infrastruktur zu trennen.

Durch Hinzufügen der „Rotate-on-Release“-Funktionen von Password Safe läuft ein Token am Sitzungsende sofort ab. Diese Sicherheitsfunktion minimiert also das Zeitfenster für Angreifer, Security-Tokens stehlen und wiederverwenden zu können.

Mit Privileged Remote Access WebJump und Password Safe lassen sich die Integration des Endpoint Credential Managers (ECM) und die Rotate-on-Release-Funktion auch auf WebJump-Zugriffe erweitern, so dass Endbenutzer über einen ortsunabhängigen Fernzugriff auf IT-Ressourcen in einer vollständig gesicherten Umgebung verfügen. Diese Implementierung bietet den höchsten Schutz gegen Diebstahl, Fälschung oder Vervielfältigung von Tokens.

Benutzer, die mittels Password Safe oder Privileged Remote Access (PRA) (blau) auf IT-Ressourcen zugreifen, haben alle Zugriffsrechte an die Sicherheitslösung übertragen, damit Anfragen wie „View Password“ oder „View Secret“ nicht direkt an eine ungeschützte Workstation übermittelt werden können.

Drei Punkte in diesem Szenario verhindern den Token-Zugriff komplett:

Einige Frontend-Anwender werden möglicherweise Bedenken anmelden, das auch beim Zugriff auf Password Safe oder Privileged Remote Access ein Security-Token eingesetzt wird. Die Gültigkeitsdauer des Password Safe-Tokens beträgt allerdings nur 15 Minuten, NICHT zwei Wochen wie bei einem AzureAD-Anmeldetoken. Privileged Remote Access-Tokens sind über den Thick Client für einen längeren Zeitraum einsetzbar.

Ordnungsgemäß konfigurierte Password Safe- oder Privileged Remote Access-Umgebungen geben keine Secrets an Benutzer weiter, sondern kontrollieren alle privilegierten Zugriffe und Aktivitäten. Das bedeutet, dass ein potenzieller Angreifer im Rahmen einer Broker-Sitzung agieren und dabei seine Methoden, Materialien und Techniken offenlegen muss, die vollständig protokolliert werden.

Insbesondere Password Safe bietet Sicherheitsverantwortlichen die Möglichkeit, laufende Sitzungen zu sperren und zu beenden. Auf diese Weise werden Angriffsversuche blockiert, wobei eine lückenlose Aufzeichnung zur forensischen Datenanalyse erhalten bleibt.

Diese Punkte zeigen, wie wichtig die Minimierung von Zugriffsmöglichkeiten ist, um Secrets abzusichern und den Diebstahl von Tokens zu verhindern.

Beim Verdacht auf gestohlene Tokens kann der fragliche Token aus einer aufgezeichneten Password Safe-Sitzung angefordert werden. Diese Link- oder RDP-Dateidaten enthalten einen 65-stelligen kryptografisch generierten Code im Feld „Benutzername“. Password Safe gibt diese Daten HTTPS-geschützt durch TLS 1.2 (und demnächst TLS 1.3) an den Benutzer weiter. Dann gewährt Password Safe dem Code-Besitzer (standardmäßig) 30 Sekunden Zeit, um die betreffende aufgezeichnete Sitzung zu öffnen.

Zur Verhinderung des Diebstahls eines Tokens durch einen Angreifer mit vollständigem Endpunkt-Zugriff gibt es zwei wichtige Sicherheitsvorkehrungen:

Es handelt sich um ein Einmal-Token. Wenn der Benutzer den Token zuerst verwendet, ist dieser für Angreifer nicht mehr einsetzbar. Wenn ein Angreifer ihn zuerst verwendet, kann der Benutzer durch erneute Anforderung des Tokens die RDP-Sitzung des Angreifers übernehmen.
Die Token-Gültigkeitsdauer von 30 Sekunden ist außergewöhnlich kurz (im Vergleich zur Gültigkeitsdauer von zwei Wochen bei AzureAD OAuth-Tokens) und in der Password Safe-Anwendung konfigurierbar.

2. Zugriffsbeschränkungen für bekannte, geschützte Geräte

BeyondTrust bietet die branchenführende Lösung Privilege Management für Windows und Mac zum Schutz von Endpunkten gegen alle Malware-Angriffsarten, indem Least-Privilege-Zugriff und Application Layering durchgesetzt werden:

Durch Entfernung von Administratorrechten für Endbenutzer sind Angreifer nicht mehr in der Lage, entsprechende Malware-Programme zum Diebstahl von Tokens zu installieren.
Aufgrund der Protokollierung von gestarteten Anwendungen kann BeyondTrust gefährliche Malware frühzeitig erkennen und betroffene Nutzer warnen. Malware-Angriffsversuche werden blockiert und alle Aktivitäten aufgezeichnet.
Mit BeyondTrust EPM gesicherte Privileged Access Workstations (PAW) stellen gemäß neuester Microsoft-Best-Practices zudem TPM-geschützte virtuelle Smartcards bereit. Werden diese Smartcards nur für PAW-Konten ausgestellt, kann in der gesamten Infrastruktur die Identität von PAW-Benutzern bei der Anmeldung sichergestellt werden. Privileged Remote Access und Password Safe können Benutzer authentifizieren, vertrauenswürdigen PAW-Benutzern den Zugriff auf kritische Ressourcen gestatten und Benutzer vor den unterschiedlichsten Bedrohungen schützen.

Sie wollen Ihr Netzwerk vor tokenbasierten Bedrohungen und Advanced Persistent Threats schützen? Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr, wie wir unsere PAM-Lösungen weiterentwickeln, um den Anforderungen an intelligente Identitäts- und Zugriffssicherheit gerecht zu werden.