InternetIntelligenz 2.0

kostenlos Pressemitteilungen einstellen | veröffentlichen | verteilen

Pressemitteilungen

 

Zugangsdaten stehlen und MFA austricksen mit Evilginx

ID: 2163534

Eine böswillige Mutation des weit verbreiteten nginx-Webservers erleichtert bösartige Adversary-in-the-Middle-Attacken. Sophos X-Ops haben in einem Versuchsaufbau das kriminelle Potential von Evilginx analysiert und geben Tipps für den Schutz.

(PresseBox) - Evilginx ist eine Malware, die auf dem legitimen und weit verbreiteten Open-Source-Webserver nginx basiert. Sie kann dazu verwendet werden, Benutzernamen, Passwörter und Sitzungs-Token zu stehlen und sie bietet Angreifenden eine Chance, die Multi-Faktor-Authentifizierung (MFA) zu umgehen.

So arbeitet Evilginx

Evilginx nutzt im Kern den legitimen und beliebten Webserver nginx, um den Webverkehrüber bösartige Webseiten zu leiten. Diese werden von den Bedrohungsakteuren erstellt, um echte Dienste wie Microsoft 365 zu imitieren – in der Fachsprache wird das als Adversary-in-the-Middle (AitM)-Angriff bezeichnet. Zur Demonstration dieser Angriffstaktik hat Sophos X-Ops eine bösartige Domain und ein Microsoft-Phishlet mit einer eigenen Subdomain eingerichtet. Das Phishlet enthält einen Köder, den der anvisierte Benutzende sieht, wenn die Cyberkriminellen versuchen, Benutzernamen und Passwörter abzufangen.

Die Formulare und Bilder, die der Anwendende sieht, stammen tatsächlich von Microsoft und werden über den Evilginx-Server an den Nutzenden weitergeleitet. Im Backend bietet Evilginx jedoch die Möglichkeit zur Konfiguration der Benutzererfahrung. In den Tests hat Sophos X-Ops ein MFA-geschütztes Benutzerkonto nachgeahmt und konnte diese Hürde sofort umgehen. Der Benutzende erlebt einen „normalen“ Login. Erst wenn ein besonders aufmerksamer Benutzender auf eine der Anwendungen auf der linken Seite des Bildschirms klickt, könnte er bemerken, dass etwas seltsam ist, da er erneut zur Anmeldung aufgefordert wird.

Abfangen von Passwörtern, Sitzungs-Tokens und Cookies

Zusätzlich zum Abfangen von Benutzernamen und Passwörtern werden auch Sitzungs-Token erfasst. Dies ist möglich, indem der Angreifende die Funktion „Angemeldet bleiben“ wählt, sobald die Microsoft-Eingabeaufforderung erscheint. Evilginx speichert diese Daten in einer Datenbank mitInformationen über jede Sitzung – einschließlich der öffentlichen IP-Adresse für den Zugriff auf den Server, den verwendeten Benutzeragenten und – ganz wichtig – das Cookie. Damit braucht der Angreifende nur ein Fenster auf der legitimen Anmeldeseite zu öffnen und das Cookie zu importieren, um sich als legitimer Benutzender anzumelden. Von hier aus haben Cyberkriminelle vollen Zugriff auf das Mailbox-Konto des Benutzeraccounts. Sobald der Zugriff auf das Konto möglich ist, können Cyberkriminelle die MFA-Geräte zurücksetzen, Passwörter ändern undeine Reihe anderer Aktionen durchführen, um sich einen erweiterten Kontenzugriff zu verschaffen.





So kann man sich schützen

Um der Gefahr eines Angriffs mit Evilginx zu begegnen, eignen sich zwei präventive beziehungsweise reaktive Maßnahmen.

Im Rahmen einer reaktiven Gegenmaßnahme sollte der erste Schritt darin bestehen, dem Bedrohungsakteur den Zugriff zu entziehen und die Türe vollständig zu schließen. Zunächst werden dafür alle Sitzungen und Tokens über Entra ID und Microsoft 365 widerrufen, um den erlangten Zugriff zu entfernen. Diese Aktionenkönnen im Benutzerkonto sowohl in Entra ID als auch in Microsoft 365 über die Schaltflächen „Sitzungen widerrufen“ und „Von allen Sitzungen abmelden“ durchgeführt werden.

Als Nächstes gilt es die Passwörter und MFA-Geräte des Benutzers zurückzusetzen. Abhängig von der Art des hinzugefügten MFA-Geräts kann dies einen passwortlosen Zugriff auf das Konto ermöglichen, wodurch das Ändern von Passwörtern und das Entfernen von Sitzungen wirkungsloswerden.

Gefahr erkannt, jedoch nicht gänzlich gebannt

Evilginx repräsentiert eine beeindruckende kriminelle Methode zur Umgehung der MFA und zur Kompromittierung von Anmeldeinformationen. Der Existenz von Evilginx sorgt zudem dafür, dass eine komplexe Angriffstechnik vergleichsweise leicht einsetzbar ist, was zu einer weiten Verbreitung führen kann. Allerdings haben die Nutzenden mit den beschriebenen Abhilfemaßnahmen gute Möglichkeiten, den Erfolg eines Angriffs stark einzuschränken.

Weitere technische Details zu Evilginx sind hier zu finden: https://news.sophos.com/en-us/2025/03/28/stealing-user-credentials-with-evilginx/

Unternehmensinformation / Kurzprofil:
drucken  als PDF  an Freund senden  WORTMANN AG setzt neuen Maßstab: Bis zu 10 Jahre Vor-Ort-Service für TERRA Server Hochgeschwindigkeits-Infrarotkamera Telops FAST M3k
Bereitgestellt von Benutzer: PresseBox
Datum: 03.04.2025 - 11:45 Uhr
Sprache: Deutsch
News-ID 2163534
Anzahl Zeichen: 0

Kontakt-Informationen:
Ansprechpartner: Jörg Schindler
Stadt:

Wiesbaden


Telefon: +49 (721) 25516-263

Kategorie:

IT, New Media & Software



Dieser Fachartikel wurde bisher 3 mal aufgerufen.


Der Fachartikel mit dem Titel:
"Zugangsdaten stehlen und MFA austricksen mit Evilginx"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Multimodale KI: Der sechste Sinn der Cyberabwehr ...

Künstliche Intelligenz (KI) ist bei der heutigen Bedrohungslage keine Option in der Cyberabwehr, sondern vielmehr Pflicht. Aber auch hier muss die Entwicklung stetig voranschreiten, um den Cybergangstern den entscheidenden Schritt beim Katz- und Mau ...

Die Lieferkette als primäres Ziel für Cyberangreifer ...

Mit dem stetigen Voranschreiten der digitalen Transformation in den letzten Jahren wurden Unternehmen zunehmend abhängig von zahlreichen Partnern und Lieferanten. Diese Verschiebung hat zu einer komplexeren IT-Infrastruktur geführt und signifikant ...

Sophos baut mit Gabriel Kunzer sein Team inÖsterreich aus ...

Mit dem neuen Senior Sales Engineer Gabriel Kunzer verstärkt Sophos sein Team in Österreich und trägt damit der verstärkten Nachfrage nach hochspezialisierter Cybersicherheitsexpertise in der Region Rechnung. Gabriel Kunzer kommt vom Bezirkskrank ...

Alle Meldungen von Sophos Technology GmbH



 

Wer ist Online

Alle Mitglieder: 50.264
Registriert Heute: 0
Registriert Gestern: 0
Mitglied(er) online: 0
Gäste Online: 119


Bitte registrieren Sie sich hier. Als angemeldeter Benutzer nutzen Sie den vollen Funktionsumfang dieser Seite.