Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Microsoft: "Number Matching" für 2FA mit Authenticator aktiviert

Angreifer können Zwei-Faktor-Authentifizierung durch Senden zahlreicher Push-Nachrichten aushebeln. Microsoft schützt mit "Number Matching" für Authenticator.

In Pocket speichern vorlesen Druckansicht 41 Kommentare lesen

(Bild: Tero Vesalainen/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Cyberkriminelle haben Opfer etwa durch das Senden zahlreicher Push-Nachrichten mit Authentifizierungsanfragen dazu gebracht, aus Verzweiflung den angefragten Zugriff freizugeben. Der Microsoft Authenticator, der derartige Push-Nachrichten von Microsoft-Diensten im AD oder Azure verarbeiten kann, hatte lediglich verlangt, auf einen Freigabe-Knopf zu drücken. Um vor solchen Ermüdungs-Attacken zu schützen, hat Microsoft jetzt "Number Matching", auf Deutsch Nummernabgleich, standardmäßig in Azure-Instanzen mit Authenticator-Push-Benachrichtigungen aktiviert.

Nutzer müssen jetzt eine auf dem Log-in-Bildschirm angezeigte Zahl im Authenticator auf dem Smartphone eingeben. Das soll Ermüdungs-Angriffe mit unzähligen Push-Anfragen abwehren.

(Bild: Microsoft)

Seit dem Montag dieser Woche ist die neue Voreinstellung aktiv, erklärt Microsoft in einer Anleitung. Jetzt genügt nicht das einfache Tatschen auf eine Schaltfläche, um den Zugriff auf eine Seite oder einen Dienst freizugeben. Jetzt müssen Nutzer auf den Log-in-Bildschirm wechseln und eine dort angezeigt Zahl in den Authenticator auf dem Smartphone eintragen.

Microsoft Authenticator: Nummernabgleich gegen Ermüdungs-Angriffe

In jüngerer Vergangenheit gelang es Betrügern immer wieder, Opfer mit derartig vielen Anfragen zu fluten, dass sie genervt den Zugriff erlaubt hatten. Damit hatten die Nutzer wieder Ruhe. Die Angreifer bekamen dadurch jedoch Zugang zu Systemen, den sie nicht haben sollten.

Ein einfacher Druck auf "Approve", und der "MFA Fatigue"-Angriff ist beendet. Allerdings haben die Angreifer dann Zugriff auf den Dienst.

(Bild: Microsoft)

Mit dem Nummernabgleich hat eine Anfragenflut keinen Sinn mehr. Jede Anfrage erhält eine eigene Zahlenkombination, die ein Opfer eintragen müsste. Nutzer müssen die angezeigte Nummer vom Anmeldebildschirm im Authenticator eintragen, um den Zugriff freizugeben.

In der Anleitung geht Microsoft auf Konfigurationen und Optionen ein, die Azure-AD-Administratoren zur Verfügung haben. Damit können sie beispielsweise den Nummernabgleich vorerst wieder deaktivieren. Auch weitere Informationen wie die, dass etwa der MFA-Server keinen Nummernabgleich unterstützt, da er veraltet ist, finden sich dort. Selbiges gilt für ältere Microsoft-Authenticator-Versionen – diese müssen auf den aktuellen Stand gebracht werden, um "Number Matching" zu unterstützen. Eine nicht allzu alte Version des Authenticators erlaubte eine Variante des Nummernabgleichs, bei dem eine aus drei Zahlen ausgewählt werden musste. Das funktioniere zwar noch, Microsoft empfiehlt jedoch dringend die Aktualisierung auf den jüngsten Stand.

Lesen Sie auch

Nicht nur Microsoft hat den zusätzlichen Schutzmechanismus mit einem Zahlenabgleich umgesetzt. Die CISA nennt weitere Anbieter wie Duo mit "Verified Push" oder Okta mit "TOTP", die den Abgleich von weiteren Zeichenfolgen bei Push-Anfragen erzwingen können.

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten