com!-Academy-Banner
Multi-Faktor-Authentifizierung

Sicherheitslücke in Microsofts MFA aufgedeckt

von - 19.08.2020
Multi-Faktor-Authentifizierung (MFA)
Foto: Nicescene / shutterstock.com
Sicherheitsforscher wollen eine Lücke in Microsofts MFA entdeckt haben. Bei einem Versuch gelang der Log-in mittels Hardware-Token, eine PIN-Eingabe wurde nicht gefordert. Microsoft sieht darin kein Sicherheitsrisiko, hat das Leck jedoch behoben.
Sicherheitsforscher haben eine Schwachstelle in der Multi-Faktor-Authentifizierung (MFA) von Microsoft entdeckt. Konkret geht es um eine fehlerhafte Implementierung der FIDO2- und WebAuthn-Unterstützung, wie Dominik Schürmann und Vincent Breitmos von Cotech herausgefunden haben wollen.
FIDO2 beziehungsweise WebAuthn ist ein offener Standard zur sicheren Authentifizierung bei Webseiten und Online-Diensten. Viele Anbieter von Internetdiensten haben den FIDO-Standard bereits übernommen und bieten ihren Nutzern damit mehr Sicherheit beim Log-in. Um sich beim jeweiligen Dienst anzumelden, ist damit ein Hardware-Token, wie beispielsweise der Security Key von Yubico, erforderlich. Für den Login muss vor allem der Hardware-Schlüssel physisch verfügbar sein. Je nach Hardware-Modell ist es zudem möglich, die Passwort- oder PIN-Eingabe durch einen Fingerabdruck-Scan auszutauschen. Die Kennung wird ausschließlich direkt auf dem Token gespeichert. Nicht aber beim betreffenden Dienst selbst.
Bei dem Versuch, sich auf microsoft.com anzumelden, habe der Dienst zwar überprüft, ob der Hardware-Key vorhanden sei. Ob der Nutzer jedoch eine PIN eingegeben hat, wurde nicht berücksichtigt. Wie die Wissenschaftler schreiben, erfolgte die Anmeldung per NFC im Vorbeigehen.

microsoft.com ist nicht auf MFA ausgelegt

Das Problem besteht darin, dass der Dienst laut Microsoft eigentlich nicht für eine MFA, sondern lediglich für eine Ein-Faktor-Authentifizierung ausgelegt sei. Diese kann auf Wunsch mittels Hardware-Token erfolgen. Ob bei der Anmeldung an einem Online-Dienst eine zusätzliche Kennnummer abgefragt wird, muss im jeweiligen Webseiten-Script festgelegt werden. Bei Microsoft war der entsprechende Wert schlicht nicht gesetzt.
Ihre Bedenken diesbezüglich definieren die Forscher deshalb genauer: Ob der Log-in per einfacher Authentifizierung oder MFA erfolgt, obliegt dem Server. Microsoft hatte im betreffenden Fall dem Browser übermittelt, eine MFA zu erlauben. Ob die PIN aber schlussendlich tatsächlich eingegeben wurde, wird nicht überprüft.
So wiegt sich der Nutzer im ungünstigsten Fall in falscher Sicherheit. Die Annahme, dass die Anmeldung nun mit einer generellen MFA abgesichert ist, sei hier schlicht nicht richtig.
Microsoft sieht in der gemeldeten Lücke kein Sicherheitsrisiko, heißt es. Behoben wurde das Leck dennoch.
Verwandte Themen