Niekto nemusí poznať vaše heslá, ak namiesto toho úspešne ukradne súbory cookie vášho prehliadača.
Viacfaktorová autentifikácia pridáva cloudovým službám ďalšie vrstvy zabezpečenia, no nie vždy je spoľahlivá. Ľudia teraz vykonávajú útoky typu pass-the-cookie, aby obišli MFA a získali prístup k vašim cloudovým službám. Keď sa dostanú dovnútra, môžu ukradnúť, exfiltrovať alebo zašifrovať vaše citlivé údaje.
Ale čo presne je útok typu pass-the-cookie, ako funguje a čo môžete urobiť, aby ste sa pred ním ochránili? Poďme zistiť.
Čo je útok typu Pass-the-Cookie?
Použitie súboru cookie relácie na obídenie autentifikácie sa nazýva útok typu pass-the-cookie.
Keď sa používateľ pokúsi prihlásiť do webovej aplikácie, aplikácia ho požiada o zadanie používateľského mena a hesla. Ak používateľ povolil viacfaktorové overenie, bude musieť zadať ďalší overovací faktor, napríklad kód odoslaný na jeho e-mailovú adresu alebo telefónne číslo.
Keď používateľ prejde viacfaktorovou autentifikáciou, vytvorí sa súbor cookie relácie a uloží sa vo webovom prehliadači používateľa. Tento súbor cookie relácie umožňuje používateľovi zostať prihlásený namiesto toho, aby znova a znova prechádzal procesom overovania vždy, keď prejde na novú stránku webovej aplikácie.
Súbory cookie relácie zjednodušujú používateľskú skúsenosť, pretože používateľ sa nemusí znova overovať zakaždým, keď sa presunie na ďalšiu stránku webovej aplikácie. Ale súbory cookie relácie tiež predstavujú vážnu bezpečnostnú hrozbu.
Ak je niekto schopný ukradnúť súbory cookie relácie a vložiť tieto súbory cookie do svojich prehliadačov, webové aplikácie budú dôverovať súborom cookie relácie a udelia zlodejovi úplný prístup.
V prípade, že útočník získa prístup k vášmu účtu Microsoft Azure, Amazon Web Services alebo Google Cloud, môže spôsobiť nenapraviteľné škody.
Ako funguje útok typu Pass-the-Cookie
Tu je návod, ako niekto vykoná útok pass-the-cookie.
Extrahovanie súboru cookie relácie
Prvým krokom pri vykonávaní útoku typu pass-the-cookie je extrahovanie súboru cookie relácie používateľa. Existujú rôzne metódy, ktoré hackeri používajú na ukradnutie súborov cookie relácie, vrátane skriptovanie medzi stránkami, phishing, Útoky typu Man-in-the-middle (MITM)., alebo útoky trójskych koní.
Škodliví herci v týchto dňoch predávajú ukradnuté súbory cookie relácie na temnom webe. To znamená, že počítačoví zločinci sa nemusia snažiť extrahovať súbory cookie relácie používateľov. Kúpou ukradnutých súborov cookie môžu počítačoví zločinci jednoducho naplánovať útok typu pass-the-cookie, aby získali prístup k dôverným údajom a citlivým informáciám obete.
Odovzdanie súboru cookie
Akonáhle má infiltrátor súbor cookie relácie používateľa, vloží ukradnutý súbor cookie do svojho webového prehliadača a spustí novú reláciu. Webová aplikácia si bude myslieť, že reláciu začína legitímny používateľ a udelí prístup.
Každý webový prehliadač spracováva súbory cookie relácie inak. Súbory cookie relácie uložené v prehliadači Mozilla Firefox nie sú pre prehliadač Google Chrome viditeľné. A keď sa používateľ odhlási, platnosť súboru cookie relácie automaticky vyprší.
Ak používateľ zatvorí prehliadač bez odhlásenia, súbory cookie relácie môžu byť vymazané v závislosti od nastavení vášho prehliadača. Webový prehliadač nemusí vymazať súbory cookie relácie, ak používateľ nastavil prehliadač tak, aby pokračoval tam, kde skončil. To znamená, že odhlásenie je spoľahlivejším prostriedkom na vymazanie súborov cookie relácie ako vypnutie prehliadača bez odhlásenia z webovej aplikácie.
Ako zmierniť útoky typu Pass-the-Cookie
Tu je niekoľko spôsobov, ako zabrániť útokom typu pass-the-cookie.
Implementujte klientske certifikáty
Ak chcete svojich používateľov chrániť pred útokmi typu pass-the-cookie, môže byť dobrým nápadom dať im trvalý token. A tento token bude pripojený ku každej žiadosti o pripojenie k serveru.
Môžete to urobiť pomocou klientskych certifikátov uložených v systéme, aby ste zistili, či sú tým, za koho sa vydávajú. Keď klient požiada o pripojenie k serveru pomocou svojho certifikátu, vaša webová aplikácia použije certifikát certifikát na identifikáciu zdroja certifikátu a určenie, či má mať klient povolený prístup.
Hoci ide o bezpečný spôsob boja proti útokom typu pass-the-cookie, je vhodný len pre webové aplikácie s obmedzeným počtom používateľov. Pre webové aplikácie s enormným počtom používateľov je implementácia klientskych certifikátov pomerne náročná.
Napríklad webová stránka elektronického obchodu má používateľov po celom svete. Len si predstavte, aké ťažké by bolo implementovať klientske certifikáty pre každého nakupujúceho.
Pridajte k žiadostiam o pripojenie ďalšie kontexty
Ďalším spôsobom, ako zabrániť útokom typu pass-the-cookie, môže byť pridanie ďalších kontextov k žiadostiam o pripojenie k serveru na overenie požiadavky.
Niektoré spoločnosti napríklad vyžadujú IP adresu používateľa pred udelením prístupu k ich webovým aplikáciám.
Nevýhodou tejto metódy je, že útočník môže byť prítomný v rovnakom verejnom priestore, ako je letisko, knižnica, kaviareň alebo organizácia. V takom prípade získa prístup kyberzločinec aj legitímny používateľ.
Použite odtlačky prstov prehliadača
Aj keď zvyčajne chcete chrániť pred odtlačkami prstov prehliadača, môže vám skutočne pomôcť v boji proti útokom typu pass-the-cookie. Snímanie odtlačkov prstov prehliadača vám umožňuje pridať viac kontextu k žiadostiam o pripojenie. Informácie, ako je verzia prehliadača, operačný systém, model zariadenia používateľa, preferované jazykové nastavenia a rozšírenia prehliadača možno použiť na identifikáciu kontextu akejkoľvek požiadavky, aby sa zaistilo, že používateľ je presne ten, o ktorom tvrdia byť.
Súbory cookie získali zlé meno, pretože sa často používajú na sledovanie používateľov, ale predstavujú možnosti, ako ich zakázať. Na rozdiel od toho, keď implementujete odtlačky prstov prehliadača ako prvok kontextu identity pre kohokoľvek žiadosť o pripojenie, odstránite možnosť výberu, čo znamená, že používatelia nemôžu zakázať alebo zablokovať prehliadač snímanie odtlačkov prstov.
Použitie nástroja na detekciu hrozieb je vynikajúci spôsob, ako odhaliť účty, ktoré sa používajú so zlým úmyslom.
Dobrý nástroj kybernetickej bezpečnosti proaktívne preskenuje vašu sieť a upozorní vás na každú nezvyčajnú aktivitu skôr, ako môže spôsobiť vážne škody.
Posilnite bezpečnosť, aby ste zmiernili útok typu Pass-the-Cookie
Útoky typu Pass-the-cookie sú vážnou bezpečnostnou hrozbou. Útočníci nemusia poznať vaše používateľské meno, heslo ani iný dodatočný overovací faktor, aby získali prístup k údajom. Musia vám ukradnúť súbory cookie relácie a môžu vstúpiť do vášho cloudového prostredia a ukradnúť, zašifrovať alebo exfiltrovať citlivé údaje.
A čo je horšie, v niektorých prípadoch môže hacker vykonať útok typu pass-the-cookie, aj keď používateľ zatvorí prehliadač. Preto je dôležité, aby ste prijali potrebné bezpečnostné opatrenia, aby ste zabránili útokom typu pass-the-cookie. Poučte svojich používateľov aj o únavových útokoch MFA, pri ktorých hackeri posielajú používateľom záplavu upozornení, aby ich opotrebovali.
