Ktoś nie musi znać twoich haseł, jeśli zamiast tego z powodzeniem ukradnie pliki cookie przeglądarki.
Uwierzytelnianie wieloskładnikowe dodaje dodatkowe warstwy bezpieczeństwa do usług w chmurze, ale nie zawsze jest niezawodne. Ludzie przeprowadzają teraz ataki pass-the-cookie, aby ominąć MFA i uzyskać dostęp do usług w chmurze. Po wejściu mogą ukraść, eksfiltrować lub zaszyfrować poufne dane.
Ale czym dokładnie jest atak pass-the-cookie, jak działa i co możesz zrobić, aby się przed nim uchronić? Dowiedzmy Się.
Co to jest atak Pass-the-Cookie?
Używanie pliku cookie sesji w celu obejścia uwierzytelniania nazywa się atakiem typu pass-the-cookie.
Gdy użytkownik próbuje zalogować się do aplikacji internetowej, aplikacja poprosi użytkownika o podanie nazwy użytkownika i hasła. Jeśli użytkownik włączył uwierzytelnianie wieloskładnikowe, będzie musiał przesłać dodatkowy czynnik uwierzytelniający, taki jak kod wysłany na jego adres e-mail lub numer telefonu.
Po przejściu przez użytkownika uwierzytelniania wieloskładnikowego tworzony jest sesyjny plik cookie, który jest przechowywany w przeglądarce internetowej użytkownika. Ten sesyjny plik cookie umożliwia użytkownikowi pozostawanie zalogowanym zamiast ciągłego przechodzenia przez proces uwierzytelniania za każdym razem, gdy przechodzi on na nową stronę aplikacji internetowej.
Sesyjne pliki cookie upraszczają doświadczenie użytkownika, ponieważ użytkownik nie musi ponownie uwierzytelniać się za każdym razem, gdy przechodzi na następną stronę aplikacji internetowej. Sesyjne pliki cookie stanowią jednak również poważne zagrożenie dla bezpieczeństwa.
Jeśli ktoś jest w stanie ukraść sesyjne pliki cookie i umieścić je w swoich przeglądarkach, aplikacje internetowe zaufają sesyjnym plikom cookie i zapewnią złodziejowi pełny dostęp.
Jeśli atakujący uzyska dostęp do Twojego konta Microsoft Azure, Amazon Web Services lub Google Cloud, może spowodować nieodwracalne szkody.
Jak działa atak Pass-the-Cookie
Oto jak ktoś przeprowadza atak pass-the-cookie.
Wyodrębnianie pliku cookie sesji
Pierwszym krokiem w przeprowadzeniu ataku pass-the-cookie jest wyodrębnienie pliku cookie sesji użytkownika. Istnieją różne metody, które hakerzy wykorzystują do kradzieży sesyjnych plików cookie, w tym skrypty między witrynami, wyłudzanie informacji, Ataki typu man-in-the-middle (MITM)., Lub ataki trojanów.
Złośliwi aktorzy sprzedają obecnie skradzione sesyjne pliki cookie w ciemnej sieci. Oznacza to, że cyberprzestępcy nie muszą podejmować wysiłków w celu wyodrębnienia plików cookie sesji użytkowników. Kupując skradzione pliki cookie, cyberprzestępcy mogą łatwo zaplanować atak typu pass-the-cookie w celu uzyskania dostępu do poufnych danych i wrażliwych informacji ofiary.
Przekazanie pliku cookie
Gdy infiltrator zdobędzie plik cookie sesji użytkownika, wstawi skradziony plik cookie do swojej przeglądarki internetowej, aby rozpocząć nową sesję. Aplikacja internetowa pomyśli, że uprawniony użytkownik rozpoczyna sesję i udzieli dostępu.
Każda przeglądarka internetowa inaczej obsługuje sesyjne pliki cookie. Sesyjne pliki cookie przechowywane w przeglądarce Mozilla Firefox nie są widoczne dla przeglądarki Google Chrome. A kiedy użytkownik się wyloguje, sesyjny plik cookie wygasa automatycznie.
Jeśli użytkownik zamknie przeglądarkę bez wylogowania, sesyjne pliki cookie mogą zostać usunięte w zależności od ustawień przeglądarki. Przeglądarka internetowa może nie usuwać sesyjnych plików cookie, jeśli użytkownik ustawił przeglądarkę tak, aby kontynuowała od miejsca, w którym została przerwana. Oznacza to, że wylogowanie jest bardziej niezawodnym sposobem na usunięcie sesyjnych plików cookie niż zamknięcie przeglądarki bez wylogowania z aplikacji internetowej.
Jak złagodzić ataki typu pass-the-cookie
Oto kilka sposobów zapobiegania atakom typu pass-the-cookie.
Implementuj certyfikaty klienta
Jeśli chcesz chronić swoich użytkowników przed atakami typu pass-the-cookie, dobrym pomysłem może być nadanie im trwałego tokena. Token ten będzie dołączany do każdego żądania połączenia z serwerem.
Możesz to zrobić, używając certyfikatów klientów przechowywanych w systemie, aby ustalić, czy są tym, za kogo się podają. Gdy klient wysyła żądanie połączenia z serwerem przy użyciu swojego certyfikatu, Twoja aplikacja internetowa użyje certyfikat, aby zidentyfikować źródło certyfikatu i określić, czy klient powinien mieć dostęp.
Chociaż jest to bezpieczna metoda zwalczania ataków typu pass-the-cookie, jest odpowiednia tylko dla aplikacji internetowych, które mają ograniczoną liczbę użytkowników. Aplikacjom internetowym z ogromną liczbą użytkowników trudno jest zaimplementować certyfikaty klienckie.
Na przykład witryna e-commerce ma użytkowników na całym świecie. Wyobraź sobie, jak trudne byłoby wdrożenie certyfikatów klienta dla każdego kupującego.
Dodaj więcej kontekstów do żądań połączeń
Dodanie większej liczby kontekstów do żądań połączenia z serwerem w celu weryfikacji żądania może być kolejnym sposobem zapobiegania atakom typu pass-the-cookie.
Na przykład niektóre firmy wymagają adresu IP użytkownika przed przyznaniem dostępu do swoich aplikacji internetowych.
Wadą tej metody jest to, że osoba atakująca może znajdować się w tej samej przestrzeni publicznej, takiej jak lotnisko, biblioteka, kawiarnia lub organizacja. W takim przypadku zarówno cyberprzestępca, jak i legalny użytkownik otrzymają dostęp.
Użyj odcisków palców przeglądarki
Chociaż zazwyczaj możesz chcieć bronić się przed pobieraniem odcisków palców przeglądarki, może faktycznie pomóc w walce z atakami typu pass-the-cookie. Odcisk palca przeglądarki pozwala dodać więcej kontekstu do żądań połączenia. Informacje takie jak wersja przeglądarki, system operacyjny, model urządzenia użytkownika, preferowane ustawienia językowe i rozszerzenia przeglądarki mogą służyć do identyfikacji kontekstu dowolnego żądania, aby upewnić się, że użytkownik jest dokładnie tym, za kogo się podaje być.
Pliki cookie zyskały złą sławę, ponieważ są często używane do śledzenia użytkowników, ale są opcjami ich wyłączenia. W przeciwieństwie do tego, gdy wdrażasz odcisk palca przeglądarki jako element kontekstu tożsamości do dowolnego żądanie połączenia, usuwasz wybraną opcję, co oznacza, że użytkownicy nie mogą wyłączyć ani zablokować przeglądarki pobieranie odcisków palców.
Korzystanie z narzędzia do wykrywania zagrożeń to doskonały sposób wykrywania kont, które są wykorzystywane w złośliwy sposób.
Dobre narzędzie do cyberbezpieczeństwa proaktywnie przeskanuje Twoją sieć i ostrzeże Cię o wszelkich nietypowych działaniach, zanim zdąży wyrządzić poważne szkody.
Wzmocnij zabezpieczenia, aby złagodzić atak typu pass-the-cookie
Ataki pass-the-cookie stanowią poważne zagrożenie bezpieczeństwa. Atakujący nie muszą znać Twojej nazwy użytkownika, hasła ani żadnego innego dodatkowego czynnika uwierzytelniającego, aby uzyskać dostęp do danych. Muszą tylko ukraść pliki cookie sesji i mogą wejść do środowiska chmury i ukraść, zaszyfrować lub wydobyć poufne dane.
Co gorsza, w niektórych przypadkach haker może przeprowadzić atak pass-the-cookie nawet wtedy, gdy użytkownik zamknął przeglądarkę. Dlatego kluczowe staje się podjęcie niezbędnych środków bezpieczeństwa, aby zapobiec atakom typu pass-the-cookie. Ponadto poinformuj użytkowników o atakach zmęczenia MFA, w których hakerzy wysyłają użytkownikom lawinę powiadomień push, aby ich zmęczyć.