Eine neue erweiterte Funktion namens Nummernabgleich für die Multi-Faktor-Authentifizierungs-App (MFA) ist generell in Microsoft Authenticator verfügbar und soll helfen, Angriffe auf MFA abzuwehren, die auf Push-Benachrichtigungs-Spam beruhen.
Forscher entdeckten Anfang des Jahres so genannte „MFA Fatigue Attacks“ auf Office 365-Nutzer, bei denen Angreifer wiederholt MFA-Push-Benachrichtigungen auslösen, während sie versuchen, sich mit einem bereits kompromittierten Kennwort bei einem Konto des Opfers anzumelden. Der Angreifer hofft, dass das Opfer durch die Benachrichtigungen irgendwann so erschöpft oder abgelenkt ist, dass es den Anmeldeversuch versehentlich genehmigt.
Wenn der Nummernabgleich aktiviert ist, verlangt die Authenticator-App, dass der Benutzer die auf dem Anmeldebildschirm angezeigte Nummer eintippt, wenn er eine MFA-Anfrage genehmigt, anstatt einfach auf „Genehmigen“ zu klicken. Dies ist eine praktische Funktion für Administratoren, deren Benutzer von diesem MFA-Angriff überrascht wurden.
Im Moment können Administratoren den Nummernabgleich in Authenticator aktivieren, aber Microsoft plant, dies im Februar 2023 als Standard für alle Authenticator-Benutzer einzuführen, so Alex Weinert, VP Director of Identity Security bei Microsoft. Administratoren können Authenticator auch so konfigurieren, dass Standort- und Anwendungskontext verwendet werden, um versehentliche Genehmigungen zu verhindern.
Microsoft hat eine Anleitung zur Konfiguration des Nummernabgleichs veröffentlicht, der nach Gruppen oder anderen Filtern aktiviert werden kann, und weist darauf hin, dass der Nummernabgleich bei Apple Watch-Benachrichtigungen nicht unterstützt wird. Die Steuerelemente für den Admin-Rollout werden entfernt, sobald der Nummernabgleich zum Standard für die Authenticator-App wird.
Außerdem verwendet Authenticator auf iOS jetzt App Transport Security (ATS), eine Sicherheitsfunktion, die Apple 2015 in iOS 9 eingeführt hat, um sichere Verbindungen über das Internet zu erzwingen. ATS muss jedoch von App-Entwicklern aktiviert werden. Forscher fanden 2019 heraus, dass ATS bei 67 % von 30.000 gescannten Apps vollständig deaktiviert war.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…