Jemand muss Ihre Passwörter nicht kennen, wenn er stattdessen erfolgreich Ihre Browser-Cookies stiehlt.
Die Multi-Faktor-Authentifizierung fügt Cloud-Diensten zusätzliche Sicherheitsebenen hinzu, ist jedoch nicht immer narrensicher. Mittlerweile führen Menschen Pass-the-Cookie-Angriffe durch, um MFA zu umgehen und Zugriff auf Ihre Cloud-Dienste zu erhalten. Sobald sie drin sind, können sie Ihre sensiblen Daten stehlen, exfiltrieren oder verschlüsseln.
Doch was genau ist ein Pass-the-Cookie-Angriff, wie funktioniert er und was kann man tun, um sich davor zu schützen? Lass es uns herausfinden.
Was ist ein Pass-the-Cookie-Angriff?
Die Verwendung eines Sitzungscookies zur Umgehung der Authentifizierung wird als Pass-the-Cookie-Angriff bezeichnet.
Wenn ein Benutzer versucht, sich bei einer Webanwendung anzumelden, fordert die Anwendung den Benutzer auf, seinen Benutzernamen und sein Passwort einzugeben. Wenn der Benutzer die Multi-Faktor-Authentifizierung aktiviert hat, muss er einen zusätzlichen Authentifizierungsfaktor angeben, z. B. einen Code, der an seine E-Mail-Adresse oder Telefonnummer gesendet wird.
Sobald der Benutzer die Multi-Faktor-Authentifizierung bestanden hat, wird ein Sitzungscookie erstellt und im Webbrowser des Benutzers gespeichert. Dieses Sitzungscookie ermöglicht es dem Benutzer, angemeldet zu bleiben, anstatt den Authentifizierungsprozess jedes Mal erneut durchlaufen zu müssen, wenn er zu einer neuen Seite der Webanwendung navigiert.
Sitzungscookies vereinfachen das Benutzererlebnis, da sich der Benutzer nicht jedes Mal erneut authentifizieren muss, wenn er zur nächsten Seite der Webanwendung wechselt. Aber auch Sitzungscookies stellen ein ernstes Sicherheitsrisiko dar.
Wenn es jemandem gelingt, Sitzungscookies zu stehlen und diese Cookies in seinen Browser einzuschleusen, vertrauen Webanwendungen Sitzungscookies und gewähren dem Dieb vollständigen Zugriff.
Sollte sich ein Angreifer Zugriff auf Ihr Microsoft Azure-, Amazon Web Services- oder Google Cloud-Konto verschaffen, kann er irreparablen Schaden anrichten.
So funktioniert ein Pass-the-Cookie-Angriff
So führt jemand einen Pass-the-Cookie-Angriff durch.
Extrahieren des Sitzungscookies
Der erste Schritt bei der Durchführung eines Pass-the-Cookie-Angriffs besteht darin, das Sitzungscookie eines Benutzers zu extrahieren. Es gibt verschiedene Methoden, mit denen Hacker Sitzungscookies stehlen, darunter: Cross-Site-Scripting, Phishing, Man-in-the-Middle-Angriffe (MITM)., oder Trojaner-Angriffe.
Heutzutage verkaufen böswillige Akteure gestohlene Sitzungscookies im Darknet. Dies bedeutet, dass Cyberkriminelle keine Anstrengungen unternehmen müssen, um die Sitzungscookies der Benutzer zu extrahieren. Durch den Kauf gestohlener Cookies können Cyberkriminelle leicht einen Pass-the-Cookie-Angriff planen, um Zugriff auf die vertraulichen Daten und sensiblen Informationen eines Opfers zu erhalten.
Weitergabe des Cookies
Sobald der Eindringling über das Sitzungscookie des Benutzers verfügt, fügt er das gestohlene Cookie in seinen Webbrowser ein, um eine neue Sitzung zu starten. Die Webanwendung geht davon aus, dass ein legitimer Benutzer eine Sitzung startet, und gewährt Zugriff.
Jeder Webbrowser geht unterschiedlich mit Sitzungscookies um. In Mozilla Firefox gespeicherte Sitzungscookies sind für Google Chrome nicht sichtbar. Und wenn sich ein Benutzer abmeldet, läuft das Sitzungscookie automatisch ab.
Wenn ein Benutzer den Browser schließt, ohne sich abzumelden, werden je nach Ihren Browsereinstellungen möglicherweise Sitzungscookies gelöscht. Ein Webbrowser löscht möglicherweise keine Sitzungscookies, wenn der Benutzer den Browser so eingestellt hat, dass er dort fortfährt, wo er aufgehört hat. Dies bedeutet, dass das Abmelden eine zuverlässigere Methode zum Löschen von Sitzungscookies ist als das Schließen des Browsers, ohne sich von der Webanwendung abzumelden.
So entschärfen Sie Pass-the-Cookie-Angriffe
Hier sind einige Möglichkeiten, Pass-the-Cookie-Angriffe zu verhindern.
Implementieren Sie Client-Zertifikate
Wenn Sie Ihre Benutzer vor Pass-the-Cookie-Angriffen schützen möchten, kann es eine gute Idee sein, ihnen einen dauerhaften Token zu geben. Und dieses Token wird an jede Serververbindungsanfrage angehängt.
Sie können dies erreichen, indem Sie im System gespeicherte Client-Zertifikate verwenden, um festzustellen, ob es sich um die Person handelt, für die sie sich ausgeben. Wenn ein Client mithilfe seines Zertifikats eine Serververbindungsanforderung stellt, verwendet Ihre Webanwendung das Zertifikat, um die Quelle des Zertifikats zu identifizieren und zu bestimmen, ob dem Client Zugriff gewährt werden soll.
Obwohl dies eine sichere Methode zur Bekämpfung von Pass-the-Cookie-Angriffen ist, eignet sie sich nur für Webanwendungen mit einer begrenzten Anzahl von Benutzern. Für Webanwendungen mit einer enormen Anzahl von Benutzern ist die Implementierung von Client-Zertifikaten eine große Herausforderung.
Beispielsweise hat eine E-Commerce-Website Benutzer auf der ganzen Welt. Stellen Sie sich vor, wie schwierig es wäre, Kundenzertifikate für jeden Käufer einzuführen.
Fügen Sie Verbindungsanfragen weitere Kontexte hinzu
Das Hinzufügen weiterer Kontexte zu Serververbindungsanfragen zur Überprüfung der Anfrage kann eine weitere Möglichkeit sein, Pass-the-Cookie-Angriffe zu verhindern.
Einige Unternehmen benötigen beispielsweise die IP-Adresse eines Benutzers, bevor sie Zugriff auf ihre Webanwendungen gewähren.
Ein Nachteil dieser Methode besteht darin, dass sich ein Angreifer möglicherweise im selben öffentlichen Raum aufhält, beispielsweise in einem Flughafen, einer Bibliothek, einem Café oder einer Organisation. In einem solchen Fall wird sowohl dem Cyberkriminellen als auch dem legitimen Benutzer Zugriff gewährt.
Verwenden Sie Browser-Fingerprinting
Während Sie es normalerweise möchten Schützen Sie sich vor Browser-Fingerprinting, es kann Ihnen tatsächlich dabei helfen, Pass-the-Cookie-Angriffe zu bekämpfen. Mit Browser-Fingerprinting können Sie Verbindungsanfragen mehr Kontext hinzufügen. Informationen wie Browserversion, Betriebssystem, Gerätemodell des Benutzers, bevorzugte Spracheinstellungen usw Browsererweiterungen können verwendet werden, um den Kontext jeder Anfrage zu identifizieren und sicherzustellen, dass der Benutzer genau der ist, den er vorgibt sein.
Cookies haben einen schlechten Ruf, da sie häufig zur Benutzerverfolgung verwendet werden. Sie bieten jedoch Möglichkeiten, sie zu deaktivieren. Im Gegensatz dazu, wenn Sie Browser-Fingerprinting als Element des Identitätskontexts für jeden implementieren Bei einer Verbindungsanfrage entfernen Sie die Auswahlmöglichkeit, was bedeutet, dass Benutzer den Browser nicht deaktivieren oder blockieren können Fingerabdrücke.
Die Verwendung eines Tools zur Bedrohungserkennung ist eine hervorragende Möglichkeit, Konten zu erkennen, die in böswilliger Absicht verwendet werden.
Ein gutes Cybersicherheitstool scannt Ihr Netzwerk proaktiv und warnt Sie vor ungewöhnlichen Aktivitäten, bevor diese größeren Schaden anrichten können.
Stärken Sie die Sicherheit, um Pass-the-Cookie-Angriffe abzuwehren
Pass-the-Cookie-Angriffe stellen eine ernsthafte Sicherheitsbedrohung dar. Angreifer müssen Ihren Benutzernamen, Ihr Passwort oder einen anderen zusätzlichen Authentifizierungsfaktor nicht kennen, um auf Daten zuzugreifen. Sie müssen lediglich Ihre Sitzungscookies stehlen, schon können sie in Ihre Cloud-Umgebung eindringen und sensible Daten stehlen, verschlüsseln oder herausfiltern.
Was noch schlimmer ist: In manchen Fällen kann ein Hacker einen Pass-the-Cookie-Angriff durchführen, selbst wenn ein Benutzer seinen Browser geschlossen hat. Daher ist es von entscheidender Bedeutung, dass Sie die erforderlichen Sicherheitsmaßnahmen ergreifen, um Pass-the-Cookie-Angriffe zu verhindern. Informieren Sie Ihre Benutzer außerdem über MFA-Müdigkeitsangriffe, bei denen Hacker Benutzern eine Flut von Push-Benachrichtigungen senden, um sie zu zermürben.
