Wie es im realen Leben zu einem 2FA-Bypass-Vorfall kommen kann

Die Rohos Logon Key Software verfügt über integrierte Sicherheitsvorkehrungen, um das Umgehen der Zwei-Faktor-Authentifizierung (2FA) zu verhindern. Dies kann vorkommen, wenn eine Windows-Desktop-Sitzung von einem 2FA-fähigen Benutzerkonto initiiert wird, die 2FA-Anmeldeinformationen jedoch nicht von Rohos erfasst wurden.

Im Rahmen des letzten Supportfalls stellten wir fest, dass die „2FA-Umgehungsfunktion“ von Rohos nach jeder Benutzeranmeldung die Bildschirmsperre auslöste. Schließlich wurde identifiziert, dass eine Drittanbietersoftware, die eine Credential-Proxy-DLL (zum Filtern aller Benutzeranmeldesitzungen) installiert hatte, die Zwei-Faktor-Authentifizierung von Rohos implizit deaktivierte. Aufgrund der „2FA-Umgehungsfunktion“ wurde die automatische Sitzungssperre jedoch jedes Mal aktiviert, wenn sich ein Benutzer mit einem einfachen Passwort anmeldete.

Der Dienst ADSelfService Plus Client Software\ADSSPProvider64.dll mit der GUID {B80B099C-62EA-43CD-9540-3DD26AF3B2B0} wurde als Ursache des Problems identifiziert. Die Installation des Dienstes aktivierte das herkömmliche passwortbasierte Anmeldefeld (Symbol) auf dem Windows-Anmeldebildschirm wieder. Dadurch konnte jeder Mitarbeiter anstelle der von Rohos Logon Key bereitgestellten Zwei-Faktor-Authentifizierung (2FA) ein Standard-Passwortsymbol auf dem Anmeldebildschirm verwenden.

Um das Problem zu beheben, wurde dem Kunden empfohlen, die GUID des Drittanbieterdienstes zur Ausschlussliste im Dialogfeld Optionen – Mehr… hinzuzufügen, wie im folgenden Screenshot hervorgehoben.

  Erfahren Sie mehr darüber, wie die Feedbackschleife für die 2FA-Informationssteuerung bei Rohos Logon in den integrierten Sicherheitsvorkehrungen von Rohos funktioniert, um 2FA-/MFA-Umgehungsangriffe zu verhindern >>