Die Adversary-in-The-Middle (AITM) Methode umgeht herkömmliche 2FA (TOTP, SMS) in Echtzeit durch den Diebstahl des Session Tokens. Ein Audit Ihrer Entra ID (Azure AD) Umgebung ist dringend erforderlich.
Immediate Action PlanAITM (z.B. durch Evilginx) ist ein Reverse-Proxy-Angriff, der sich zwischen den Benutzer und den echten Identity Provider (IdP) schaltet. Das Ziel ist es, den Session Cookie, der nach erfolgreicher 2FA ausgegeben wird, abzugreifen.
Die Angreifer interessieren sich nicht für das Passwort, sondern für den nach der 2FA ausgestellten Session Cookie. Dieser ermöglicht sofortigen Zugang.
Der Angriff umgeht TOTP (Authenticator App), SMS-Codes und Voice Calls, da diese Faktoren nicht an die Domäne gebunden sind (Domain Binding fehlt).
Verstehen Sie den Ablauf des Angriffs und sehen Sie in den Videos, wie die Lücke ausgenutzt und wie sie kryptographisch geschlossen wird.
Der vollständige AITM-Angriff auf einen M365-Account, bei dem die aktive 2FA (Authenticator App) umgangen wird.
Video ansehenDemonstration, wie eine FIDO2/Passkey-Authentifizierung (phishing-resistent) den Evilginx-Angriff kryptographisch blockiert.
Video ansehenDas Opfer erhält eine professionell gestaltete E-Mail mit einem Link zur gefälschten Anmeldeseite.
Evilginx leitet die eingegebenen Credentials (Passwort + 2FA-Code) in Echtzeit an den echten Microsoft-Server weiter.
Der Server gibt den gültigen Session Cookie zurück, den Evilginx abfängt, speichert und dem Angreifer zur sofortigen Nutzung bereitstellt.
FIDO2 ist die empfohlene Lösung, da es eine kryptographische Bindung an die Domäne herstellt, was den AITM-Angriff blockiert. Implementierung in Microsoft Entra ID.
Im Entra Admin Center (Authentifizierungsmethoden) FIDO2-Sicherheitsschlüssel für Testgruppen (z.B. IT-Admins) aktivieren.
Conditional Access Policy erstellen. Unter 'Grant' die 'Authentication Strength' auf eine Stufe setzen, die **nur** FIDO2 (und optional kennwortlosen Authenticator) zulässt.
Über die Authentication Methods Policy SMS- und Voice Call-Methoden für alle Benutzer deaktivieren, um die Angriffsfläche zu minimieren.
Physische FIDO2-Hardware-Schlüssel bereitstellen oder die Nutzung von integrierten Passkeys (Windows Hello, etc.) fördern. Nutzer zur Registrierung anleiten.