Russische Akteure umgehen die 2FA, was passiert ist und wie man es vermeiden kann

Der Angriff geht auf den Mai 2021 zurück, und das Opfer war eine Nichtregierungsorganisation. Die Angreifer haben es geschafft, das System zu umgehen, und zwar auf folgende Weise

• Sie hatten Glück, dass das Passwort falsch gewählt war
• Ein Konto gefunden, das seit Jahren nicht mehr aktiv war
• Erneute Registrierung des Kontos im 2FA-System, als ob der ursprüngliche Benutzer es erneut aktivieren würde
• Eingeloggt als dieser Benutzer
• Sicherheitslücke in PrintNightmare wird ausgenutzt, um Zugriff auf Domänenadministrator zu erhalten
• Das 2FA-System wurde gebrochen, indem seine Konfiguration so geändert wurde, dass es keine 2FA-Antworten mehr von irgendjemandem verlangt.

Sobald sie drin waren, konnten sie neue Konten hinzufügen, sich im Netzwerk bewegen, Unternehmensdaten in der Cloud durchsuchen und E-Mail-Konten abrufen.

Wie kann diese Art der Infiltration verhindert werden?

• Die Wahl der richtigen Passwörter (besuchen Sie unsere sozialen Tipps zu sicheren Passwörtern)
• Deaktivieren oder vollständiges Entfernen ungenutzter Konten
• Stellen Sie die 2FA nicht auf "fail open".
• Schnelles Reagieren, wenn wichtige Sicherheitsfunktionen des Systems nicht mehr funktionieren
• Zuweisung einer zentralen Stelle für die Meldung von Problemen an das Personal
• Regelmäßige Überwachung von Systemprotokollen und risikoreichem Verhalten wie der Einrichtung neuer Konten
• Aktualisieren Sie immer alles, damit Sie nicht mit unerwünschten Fehlern konfrontiert werden

Wenn Sie nicht über die nötige Erfahrung oder Zeit verfügen, um selbst eine kontinuierliche Bedrohungsabwehr durchzuführen, sollten Sie eine Partnerschaft mit einem Dienst wie Sophos Managed Threat Response in Betracht ziehen.

Wir helfen Ihnen bei der Erledigung der Aufgaben, die Sie aufgrund der vielen anderen täglichen Anforderungen der IT kaum noch bewältigen können.

Backdoors sind auch für unsere Computersicherheit gefährlich, mehr dazu erfahren Sie hier.