Cyber Security Versicherung?
19. August 2024Yubikey und Sicherheit!
Viele verlassen sich auf kryptografisch gesicherte Hardware-Tokens, um ihre Konten und Logins zu schützen, wobei der Hersteller Yubico mit dem Produkt Yubikey an vorderster Front steht. Eine kürzlich aufgedeckte Sicherheitslücke hat jedoch diese Zuversicht erschüttert und Bedenken hinsichtlich der zusätzlichen Sicherheit geweckt.
Problem Zusammenfassung:
Yubikey-Benutzer mit niedrigerem Risiko können aufatmen, denn dieser Angriff ist äußerst fortgeschritten. Er erfordert nicht nur physischen Zugriff auf den Token, sondern auch teure Ausrüstung wie ein Oszilloskop, um die kryptografischen Operationen zu analysieren.
Warum bleibt dies ein Risiko?
Trotz der Komplexität des Angriffs gibt allein die Möglichkeit, einen Yubikey zu klonen, Anlass zu erheblichen Bedenken. Schließlich werden Hardware-Tokens, insbesondere diejenigen, die für Zwei-Faktor-Authentifizierung (2FA) im Einsatz sind, in erster Linie verwendet um kritische Daten und Systeme zu schützen. Eines ihrer wichtigsten Versprechen ist eigentlich die Immunität gegen ein solches Klonen.
Egal wie gering die Chance eines gekloneten Schlüssels ist, stellt diese eine erhebliche Bedrohung für die Sicherheit kritischer Infrastrukturen dar.
Fälle aus der Praxis: Was ist bisher passiert?
Bislang sind keine Fälle bekannt, in denen dieser Angriff in freier Wildbahn durchgeführt wurde. Solche gezielten Angriffe zielen jedoch in der Regel auf hochrangige Personen ab, deren Zugang hochsensible Netzwerke, kritische Geräte oder Daten schützt.
Angriffsmuster:
In einem ausführlichen Bericht von NinjaLab wird der Klon-Angriffsprozess erläutert:
- Der Angreifer verschafft sich zunächst den Login und das Passwort des Opfers für ein durch FIDO gesichertes Konto, möglicherweise durch Phishing.
- Der Angreifer verschafft sich unbemerkt physischen Zugang zum Yubikey des Opfers.
- Unter Verwendung der gestohlenen Anmeldedaten sendet der Angreifer wiederholte Authentifizierungsanfragen und führt gleichzeitig Side-Channel Messungen auf dem Gerät durch.
- Der Angreifer gibt den Yubikey unbemerkt an das Opfer zurück.
- Nach der Analyse der Messungen extrahiert der Angreifer erfolgreich den privaten ECDSA-Schlüssel, der an das Konto des Opfers gebunden ist.
- Mit diesem Schlüssel kann der Angreifer auf das Konto des Opfers zugreifen, ohne das Yubikey zu benötigen und hat somit einen Klon des FIDO-Geräts. Solange das Opfer seine Authentifizierungsdaten nicht widerruft, behält der Angreifer den Zugang.
Wer ist betroffen und wie kann man reagieren?
Alle Yubikeys mit Firmware-Versionen vor 5.7 sind betroffen und es ist derzeit keine direkte Lösung verfügbar. Durch die Implementierung zusätzlicher Authentifizierungsmaßnahmen (siehe Yubicos Passkey-Konzepte) können Benutzer es Angreifern jedoch erheblich erschweren, erfolgreich zu sein, da sie die zusätzlichen Benutzerverifizierungsschritte bestehen müssten, um den Schlüssel erfolgreich zu klonen.
Dank Blacklens Account Takeover und Darknet Monitoring werden Kunden umgehend alarmiert, wenn eines ihrer Konten im Darknet gefunden wird und können dadurch proaktiv handeln statt nur zu reagieren.
Sind Sie bereit, Ihre Sicherheit auf die nächste Stufe zu heben? Melden Sie sich für unseren unverbindlichen Proof of Concept an und erleben Sie blacklens.io in Aktion!