Ein auf einer temporären Infrastruktur gehosteter Kern-Proxy-Server führt einen AitM-Angriff durch. Dieser Server fungiert als Reverse-Proxy, um Informationen wie Benutzernamen, Passwörter und MFA-Antworten zu erfassen und an legitime Dienste wie Microsoft, Google und Okta weiterzuleiten. Wenn der legitime Dienst die Authentifizierung validiert und ein Sitzungscookie ausgibt, fängt der VoidProxy-Proxy-Server dieses ab. Eine Kopie des Cookies wird exfiltriert und dem Angreifer über sein Admin-Panel zur Verfügung gestellt. Der Angreifer ist nun im Besitz eines gültigen Sitzungscookies und kann auf das Konto des Opfers zugreifen.
VoidProxy-Kampagne verdeutlicht Risiken von SMS und OTP
„Der Bericht hebt die Risiken veralteter Multi-Faktor-Authentifizierungsarten wie SMS und Einmalpasswörtern (One Time Passwords, OTP) in Kombination mit dem Diebstahl von Sitzungstoken hervor“, kommentierte David Shipley von Beauceron Security. „Der Trick dabei ist, sicherzustellen, dass die Benutzer in Unternehmen über Ausweichmöglichkeiten verfügen, wenn komplexere Ansätze wie die app-basierte Zwei-Faktor-Authentifiziereng (2FA) nicht verfügbar sind.“
Der andere Trick, fügte er hinzu, bestehe darin, den Übergang zu MFA einfacher und bequemer zu gestalten. „Jeder muss sich intensiv mit der Lebensdauer von Sitzungstoken und der erneuten Authentifizierung auseinandersetzen und die Vorstellung überdenken, dass dies nicht notwendig sei, wenn sich die Menschen vor Ort befinden.“
