Geknackte Zwei-Faktor-Anmeldung: Warum Software Token keine gute Idee sind
Eine mutmaßlich chinesische Hackergruppe, deren Angriffe bis 2011 zurückgehen, soll einen neuartigen Angriff auf RSA-Software-Token entdeckt haben.
Ziele der mutmaßlich chinesischen Hackergruppe APT 20 bei "Operation Wocao"
(Bild: Fox-IT)
- Fabian A. Scherschel
APT 20 ist zurück. Die niederländische Sicherheitsfirma Fox-IT will eine Hacker-Operation einer staatlichen chinesischen Hackergruppe enttarnt haben, die schon 2011 bei den sogenannten Nitro Attacks Unternehmen der Chemieindustrie angegriffen haben sollen. Die Gruppe, die seit diesen Angriffen unter der Beobachtung diverser IT-Security-Unternehmen stand wurde mit dem Codenamen APT 20 belegt und soll nun, nach zwei Jahren ohne sichtbare Angriffe, wieder aufgetaucht sein. Der Bericht von Fox-IT ist vor allem auch deswegen interessant, weil die (mutmaßlichen) Chinesen einen per Zwei-Faktor-Anmeldung gesicherten VPN-Zugang geknackt haben – mit einem anscheinend komplett neuen Vorgehen.
Wenn der zweite Faktor kein zweiter Faktor ist
Zwei-Faktor-Anmeldung (2FA) gilt bei Sicherheitsforschern eigentlich als non plus ultra für die Absicherung von Benutzerkonten, da der Anwender hier neben seinem Passwort einen zweiten, physischen Faktor benötigt – etwa ein Hardware-Token oder ein Smartphone mit bestimmter Software. Wenn sich Angreifer, wie APT 20 im vorliegenden Fall, ins Netzwerk einer Organisation schleichen, können sie zwar in der Regel alle Passwörter, Zertifikate und sonstige Authentifizierung-Merkmale abgreifen, kommen aber nicht an nicht mit dem Netzwerk verbundene Hardware heran. Sie sitzen nun mal (mutmaßlich) in China und haben von dort keinen Zugriff auf das in den USA befindliche Hardware-Dongle oder das Handy eines Mitarbeiters.
Diese Schutzfunktion einer Zwei-Faktor-Anmeldung wird immer dann untergraben, wenn der zweite Faktor kein echter zweiter Faktor ist. Etwa bei der Bank, die ihre Kunden Banking-App und TAN-Generator-App auf dem selben Smartphone installieren lässt. In einem solchen Fall kann man zwar theoretisch von Zwei-Faktor-Authentifizierung sprechen, praktisch gesehen ist das Anmeldeverfahren aber nur marginal sicherer als mit einem Passwort.
Verdeckte Operation in fremden Netzen
In ihrem Report über die aufgedeckten Hacker-Tätigkeiten von APT 20 beschreiben die niederländischen Sicherheitsforscher die Methoden der Hacker als alltäglich für solche Gruppen. Man hat nach dem Lesen des Berichtes den Eindruck, dass die Angreifer vielleicht genau deswegen so lange unentdeckt blieben, weil sie einfache Methoden und routinemäßige Windows-Admin-Tools einsetzen. Nach einmaligem Einbruch in das Netzwerk eines Ziels hangelten sie sich vor allem unter dem Einsatz von Windows-Bordmitteln durch das Netzwerk und priorisierten dabei die Rechner von Admins, deren Systeme sie gezielt nach Passwort-Manager-Programmen durchsuchten, um sich so möglichst hohe Rechte im Netzwerk anzueignen. Das klappte so lange, bis sie an einen VPN-Zugang gerieten, der mit zwei Faktoren abgesichert war.
Normalerweise hätten die Hacker hier wenig Chancen gehabt. Ihre Admin-Rechte und der Schatz an geplünderten Passwörtern verschaffte ihnen zwar die Kontrolle über das aktuelle Netzwerk, aber für das per VPN erreichbare zweite Netzwerk nützte ihnen das alles nichts. Im besten Falle hätte man sich auf dem Rechner des entsprechenden Mitarbeiters einnisten und warten müssen, bis dieser sein Hardware-Token aus der Tasche holt und selbst die VPN-Verbindung aufbaut. Und Manipulationen in diesen Momenten hätten auffallen können, weil der Mitarbeiter ja selbst die Verbindung nutzt. Glücklicherweise für die Hacker verwendete die betroffene Organisation aber keine getrennte Hardware als zweiten Faktor, sondern Software Token der Firma RSA.
RSA SecurID Software Token geknackt
Beim RSA SecurID Software Token installiert der Anwender eine Software, die dann an sein Gerät gekoppelt wird und nur auf dieser Hardware benutzbar ist. In der Theorie ist das also ein zweiter Faktor, ähnlich wie ein TAN-Generator auf einem Smartphone. Dumm nur, wenn die Hacker Admin-Rechte auf dem entsprechenden Gerät haben und die Software-Token-App einfach auf ihr System kopieren. Jetzt sollte die Software eigentlich verhindern, ausgeführt zu werden – sie läuft ja schließlich auf anderer Hardware. Da der Angreifer aber Admin-Rechte auf dem System des Opfers hat kann er den Hardware-spezifischen Wert auslesen, den die SecurID-Software verwendet, um sicherzustellen, dass sie auf dem richtigen System läuft. So kann der Angreifer auf seinem eigenen System dann die 2FA-Codes generieren, die er zum Anmelden beim VPN benötigt.
(Bild: Fox-IT)
(Bild: Fox-IT)
Wie Fox-IT allerdings herausfand, machte es sich APT 20 aber noch viel einfacher. Es stellt sich nämlich heraus, dass die Hacker gar nicht den Hardware-spezifischen Wert herausfinden mussten, den die Software-Token-App benötigt. Bedingt durch die Art wie die SecurID-Software prüft, ob ein 2FA-Software-Token auf der richtigen Hardware erstellt wurde, ist es nämlich möglich, einfach diese lokale Software entsprechend so zu patchen, dass diese Prüfung immer bestanden wird. Demnach kopierten die APT-20-Hacker die Software-Token-App einfach auf ihr eigenes System, manipulierten sie an der richtigen Stelle und generierten dann valide 2FA-Token für das VPN auf fremder Hardware.
Laut Fox-IT haben die (mutmaßlich) staatlichen chinesischen Hacker diesen Angriff auf RSA SecurID Software Token erfunden – oder immerhin sind sind sie die ersten, die bei einem solchen Angriff ertappt wurden. Ob Fox-IT die RSA-Kollegen über diese Schwachstelle in deren Zwei-Faktor-Authentifizierungs-System informiert hat, geht aus dem Bericht der Niederländer nicht hervor. (fab)
