Zugangsdaten stehlen und MFA austricksen mit Evilginx
ID: 2163534
Eine böswillige Mutation des weit verbreiteten nginx-Webservers erleichtert bösartige Adversary-in-the-Middle-Attacken. Sophos X-Ops haben in einem Versuchsaufbau das kriminelle Potential von Evilginx analysiert und geben Tipps für den Schutz.
So arbeitet Evilginx
Evilginx nutzt im Kern den legitimen und beliebten Webserver nginx, um den Webverkehr über bösartige Webseiten zu leiten. Diese werden von den Bedrohungsakteuren erstellt, um echte Dienste wie Microsoft 365 zu imitieren – in der Fachsprache wird das als Adversary-in-the-Middle (AitM)-Angriff bezeichnet. Zur Demonstration dieser Angriffstaktik hat Sophos X-Ops eine bösartige Domain und ein Microsoft-Phishlet mit einer eigenen Subdomain eingerichtet. Das Phishlet enthält einen Köder, den der anvisierte Benutzende sieht, wenn die Cyberkriminellen versuchen, Benutzernamen und Passwörter abzufangen.
Die Formulare und Bilder, die der Anwendende sieht, stammen tatsächlich von Microsoft und werden über den Evilginx-Server an den Nutzenden weitergeleitet. Im Backend bietet Evilginx jedoch die Möglichkeit zur Konfiguration der Benutzererfahrung. In den Tests hat Sophos X-Ops ein MFA-geschütztes Benutzerkonto nachgeahmt und konnte diese Hürde sofort umgehen. Der Benutzende erlebt einen „normalen“ Login. Erst wenn ein besonders aufmerksamer Benutzender auf eine der Anwendungen auf der linken Seite des Bildschirms klickt, könnte er bemerken, dass etwas seltsam ist, da er erneut zur Anmeldung aufgefordert wird.
Abfangen von Passwörtern, Sitzungs-Tokens und Cookies
Zusätzlich zum Abfangen von Benutzernamen und Passwörtern werden auch Sitzungs-Token erfasst. Dies ist möglich, indem der Angreifende die Funktion „Angemeldet bleiben“ wählt, sobald die Microsoft-Eingabeaufforderung erscheint. Evilginx speichert diese Daten in einer Datenbank mit Informationen über jede Sitzung – einschließlich der öffentlichen IP-Adresse für den Zugriff auf den Server, den verwendeten Benutzeragenten und – ganz wichtig – das Cookie. Damit braucht der Angreifende nur ein Fenster auf der legitimen Anmeldeseite zu öffnen und das Cookie zu importieren, um sich als legitimer Benutzender anzumelden. Von hier aus haben Cyberkriminelle vollen Zugriff auf das Mailbox-Konto des Benutzeraccounts. Sobald der Zugriff auf das Konto möglich ist, können Cyberkriminelle die MFA-Geräte zurücksetzen, Passwörter ändern und eine Reihe anderer Aktionen durchführen, um sich einen erweiterten Kontenzugriff zu verschaffen.
So kann man sich schützen
Um der Gefahr eines Angriffs mit Evilginx zu begegnen, eignen sich zwei präventive beziehungsweise reaktive Maßnahmen.
Im Rahmen einer reaktiven Gegenmaßnahme sollte der erste Schritt darin bestehen, dem Bedrohungsakteur den Zugriff zu entziehen und die Türe vollständig zu schließen. Zunächst werden dafür alle Sitzungen und Tokens über Entra ID und Microsoft 365 widerrufen, um den erlangten Zugriff zu entfernen. Diese Aktionen können im Benutzerkonto sowohl in Entra ID als auch in Microsoft 365 über die Schaltflächen „Sitzungen widerrufen“ und „Von allen Sitzungen abmelden“ durchgeführt werden.
Als Nächstes gilt es die Passwörter und MFA-Geräte des Benutzers zurückzusetzen. Abhängig von der Art des hinzugefügten MFA-Geräts kann dies einen passwortlosen Zugriff auf das Konto ermöglichen, wodurch das Ändern von Passwörtern und das Entfernen von Sitzungen wirkungslos werden.
Gefahr erkannt, jedoch nicht gänzlich gebannt
Evilginx repräsentiert eine beeindruckende kriminelle Methode zur Umgehung der MFA und zur Kompromittierung von Anmeldeinformationen. Der Existenz von Evilginx sorgt zudem dafür, dass eine komplexe Angriffstechnik vergleichsweise leicht einsetzbar ist, was zu einer weiten Verbreitung führen kann. Allerdings haben die Nutzenden mit den beschriebenen Abhilfemaßnahmen gute Möglichkeiten, den Erfolg eines Angriffs stark einzuschränken.
Weitere technische Details zu Evilginx sind hier zu finden: https://news.sophos.com/en-us/2025/03/28/stealing-user-credentials-with-evilginx/
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 03.04.2025 - 11:45 Uhr
Sprache: Deutsch
News-ID 2163534
Anzahl Zeichen: 4646
Kontakt-Informationen:
Ansprechpartner: Jörg Schindler
Stadt:
Wiesbaden
Telefon: +49 (721) 25516-263
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 280 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Zugangsdaten stehlen und MFA austricksen mit Evilginx"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
Datenrettung und kostenlose Analyse: Warum Kunden 2026 genau hinschauen sollten ...
Wenn es zu einem Datenverlust kommt, ist schnelle und verlässliche Hilfe gefragt. Defekte Festplatten, ausgefallene SSDs, beschädigte RAID Systeme, NAS Ausfälle, Serverprobleme oder versehentlich gelöschte Daten können private Erinnerungen, geschäftskritische Informationen oder komplette IT Pr
Neuer Pentest-Konfigurator 2.0 für individuelle Angebote ...
Die Pentest Factory GmbH hat einen neuen Online-Konfigurator für individuelle Pentest-Angebote gestartet. Die Anwendung steht ab sofort zur Verfügung und bietet maximale Transparenz sowie flexible Zusammenstellung der gewünschten Leistungen. Mehr erfahren Sie unter https://konfigurator.pentestfac
MAPWISE - BerufsorietierungsAPP - Meilenstein ...
Aktuell befindet sich das Projekt MAPWISE in der Test- und Entwicklungsphase. Neben internen Tests wird der App-Prototyp gemeinsam mit den Zielgruppen erprobt und weiterentwickelt. Gleichzeitig arbeiten die Projektpartner an der Erstellung lokaler Inhalte und Touren in den jeweiligen Partnerländern
Tageslichtlampen im Büro: Warum Vollspektrumlicht für Arbeitsplätze wichtiger wird ...
In vielen Büros reicht natürliches Tageslicht nicht an jedem Arbeitsplatz und zu jeder Tageszeit aus. Besonders fensterferne Bereiche, Bildschirmarbeitsplätze, Besprechungsräume und dunkle Jahreszeiten machen künstliche Beleuchtung notwendig. Die Firma natur-nah.de empfiehlt Unternehmen deshalb
Daten-Souveränität in der Cloud: Wer ausser Ihnen kennt Ihre Datenflüsse noch- ...
In hybriden Cloud-Architekturen verlieren Unternehmen schnell den Überblick darüber, wo Daten liegen, wer sie verarbeitet und welchem Rechtsraum sie unterstehen. Genau dort entscheidet sich Daten-Souveränität: nicht als Audit-Aufgabe zum Abhaken, sondern als Führungs-, Governance- und Cyber-Sec
P12 Pro LN Premium-Lüfterserie ...
ARCTIC erweitert die leistungsstarke P12 Pro-Serie um die LN-Modelle. Die neuen P12 Pro LN-Lüfter bieten einen angepassten Drehzahlbereich von 450-2000 rpm, für einen leisen Betrieb bei gleichzeitig hohem Luftdurchsatz. Erhältlich sind die P12 Pro LN-Lüfter in drei unterschiedlichen Varianten. Z
Der bvfa auf der INTERSCHUTZ und der FeuerTrutz 2026 ...
Der bvfa – Bundesverband Technischer Brandschutz e.V. präsentiert sich 2026 gleich auf zwei bedeutenden Fachmessen der Branche: auf der INTERSCHUTZ in Hannover vom 1. bis 6. Juni sowie auf der FeuerTrutz in Nürnberg am 24. und 25. Juni. Besucherinnen und Besucher erwartet an beiden Standorten ak
WINDBOX II NX– Die Rückkehr eines Klassikers mit Intel® N150 CPU ...
Die ultraflache WINDBOX II ist zurück – moderner denn je Die WINDBOX-Serie stand schon immer für ultraflache, lüfterlose Industrie-PCs mit hoher Zuverlässigkeit und vielseitigen Einsatzmöglichkeiten. Mit der neuen WINDBOX II NX knüpft spo-comm an diese Erfolgsgeschichte an und bringt die Ser
GigaOm Radar: Versa erneut als Leader im Bereich SSE ausgezeichnet ...
Versa, Spezialist für Secure Access Service Edge (SASE), wurde zum dritten Mal in Folge im GigaOm Radar Report für Security Service Edge (SSE) als Leader ausgezeichnet. In dem Bericht werden die SSE-Lösungen von 22 globalen Sicherheitsanbietern analysiert. Auf der Grundlage dieser Bewertungen in
Hermes Reply präsentiert "Brick Cognitive", ein agentenbasiertes Betriebssystem für die Fertigung ...
Hermes Reply, das auf digitale Transformation in der Fertigungsindustrie spezialisierte Unternehmen der Reply Gruppe, stellt "Brick Cognitive" vor: das agentenbasierte Betriebssystem integriert Künstliche Intelligenz direkt in industrielle Abläufe. Die Lösung erweitert die Next-Generati
