Někdo nemusí znát vaše hesla, pokud místo toho úspěšně ukradne soubory cookie vašeho prohlížeče.
Vícefaktorové ověřování přidává cloudovým službám další vrstvy zabezpečení, ale není vždy spolehlivé. Lidé nyní provádějí útoky typu pass-the-cookie, aby obešli MFA a získali přístup k vašim cloudovým službám. Jakmile jsou uvnitř, mohou ukrást, exfiltrovat nebo zašifrovat vaše citlivá data.
Ale co přesně je útok pass-the-cookie, jak funguje a co můžete udělat, abyste se před ním ochránili? Pojďme to zjistit.
Co je útok typu Pass-the-Cookie?
Použití souboru cookie relace k obejití ověřování se nazývá útok typu pass-the-cookie.
Když se uživatel pokusí přihlásit do webové aplikace, aplikace jej požádá o zadání uživatelského jména a hesla. Pokud uživatel povolil vícefaktorové ověřování, bude muset odeslat další ověřovací faktor, jako je kód zaslaný na jeho e-mailovou adresu nebo telefonní číslo.
Jakmile uživatel projde vícefaktorovou autentizací, vytvoří se soubor cookie relace a uloží se do webového prohlížeče uživatele. Tento soubor cookie relace umožňuje uživateli zůstat přihlášený místo toho, aby znovu a znovu procházel procesem ověřování, kdykoli přejde na novou stránku webové aplikace.
Soubory cookie relace zjednodušují uživatelskou zkušenost, protože uživatel se nemusí znovu autentizovat pokaždé, když se přesune na další stránku webové aplikace. Ale soubory cookie relace také představují závažnou bezpečnostní hrozbu.
Pokud je někdo schopen ukrást soubory cookie relace a vložit tyto soubory cookie do svých prohlížečů, webové aplikace budou důvěřovat souborům cookie relace a udělí zloději úplný přístup.
V případě, že útočník získá přístup k vašemu účtu Microsoft Azure, Amazon Web Services nebo Google Cloud, může způsobit nenapravitelné škody.
Jak funguje útok typu Pass-the-Cookie
Zde je návod, jak někdo provede útok pass-the-cookie.
Extrahování souboru cookie relace
Prvním krokem při provádění útoku pass-the-cookie je extrahování souboru cookie relace uživatele. Existují různé metody, které hackeři používají ke krádeži souborů cookie relace, včetně cross-site skriptování, phishing, Útoky typu Man-in-the-middle (MITM).nebo trojské útoky.
Zlomyslní herci v těchto dnech prodávají ukradené soubory cookie relace na temném webu. To znamená, že kyberzločinci se nemusí snažit extrahovat soubory cookie relací uživatelů. Zakoupením odcizených cookies mohou kyberzločinci snadno naplánovat útok typu pass-the-cookie, aby získali přístup k důvěrným datům a citlivým informacím oběti.
Předávání cookie
Jakmile má infiltrátor cookie relace uživatele, vloží ukradený cookie do svého webového prohlížeče, aby zahájil novou relaci. Webová aplikace si bude myslet, že relaci zahajuje legitimní uživatel, a udělí přístup.
Každý webový prohlížeč zpracovává soubory cookie relace jinak. Soubory cookie relace uložené v prohlížeči Mozilla Firefox nejsou pro Google Chrome viditelné. A když se uživatel odhlásí, platnost souboru cookie relace automaticky vyprší.
Pokud uživatel zavře prohlížeč bez odhlášení, mohou být soubory cookie relace smazány v závislosti na nastavení vašeho prohlížeče. Webový prohlížeč nemusí vymazat soubory cookie relace, pokud uživatel nastavil prohlížeč tak, aby pokračoval tam, kde skončil. To znamená, že odhlášení je spolehlivější způsob vymazání souborů cookie relace než vypnutí prohlížeče bez odhlášení z webové aplikace.
Jak zmírnit útoky typu Pass-the-Cookie
Zde je několik způsobů, jak zabránit útokům typu pass-the-cookie.
Implementujte klientské certifikáty
Pokud chcete své uživatele chránit před útoky typu pass-the-cookie, může být dobrým nápadem dát jim trvalý token. A tento token bude připojen ke každé žádosti o připojení k serveru.
Můžete to provést pomocí klientských certifikátů uložených v systému, abyste zjistili, zda jsou tím, za koho se vydávají. Když klient požádá o připojení k serveru pomocí svého certifikátu, vaše webová aplikace použije certifikát certifikát k identifikaci zdroje certifikátu a určení, zda má mít klient povolen přístup.
Přestože se jedná o bezpečný způsob boje proti útokům typu pass-the-cookie, je vhodný pouze pro webové aplikace s omezeným počtem uživatelů. Pro webové aplikace s enormním počtem uživatelů je implementace klientských certifikátů poměrně náročná.
Například web elektronického obchodu má uživatele po celém světě. Jen si představte, jak obtížné by bylo implementovat klientské certifikáty pro každého nakupujícího.
Přidejte další kontexty k požadavkům na připojení
Přidání dalších kontextů k žádostem o připojení k serveru za účelem ověření požadavku může být dalším způsobem, jak zabránit útokům typu pass-the-cookie.
Některé společnosti například vyžadují před udělením přístupu ke svým webovým aplikacím IP adresu uživatele.
Nevýhodou této metody je, že útočník může být přítomen ve stejném veřejném prostoru, jako je letiště, knihovna, kavárna nebo organizace. V takovém případě bude udělen přístup jak kyberzločinci, tak legitimnímu uživateli.
Použijte funkci Fingerprinting prohlížeče
I když obvykle můžete chtít obrana proti otiskům prstů prohlížeče, ve skutečnosti vám může pomoci v boji proti útokům typu pass-the-cookie. Fingerprinting prohlížeče umožňuje přidat další kontext k žádostem o připojení. Informace, jako je verze prohlížeče, operační systém, model zařízení uživatele, preferovaná jazyková nastavení a rozšíření prohlížeče lze použít k identifikaci kontextu jakéhokoli požadavku, aby bylo zajištěno, že uživatel je přesně tím, koho tvrdí být.
Soubory cookie získaly špatné jméno, protože se často používají ke sledování uživatelů, ale představují možnosti, jak je zakázat. Naproti tomu, když implementujete otisky prstů prohlížeče jako prvek kontextu identity pro všechny žádost o připojení, odeberete možnost výběru, což znamená, že uživatelé nemohou zakázat nebo zablokovat prohlížeč otisky prstů.
Použití nástroje pro detekci hrozeb je vynikající způsob, jak odhalit účty, které jsou používány se zlými úmysly.
Dobrý nástroj pro kybernetickou bezpečnost proaktivně prohledá vaši síť a upozorní vás na jakoukoli neobvyklou aktivitu dříve, než může způsobit významné škody.
Posilte zabezpečení, abyste zmírnili útok typu Pass-the-Cookie
Útoky typu Pass-the-cookie jsou závažnou bezpečnostní hrozbou. K přístupu k datům nemusí útočníci znát vaše uživatelské jméno, heslo ani žádný další ověřovací faktor. Musí prostě ukrást vaše soubory cookie relace a mohou vstoupit do vašeho cloudového prostředí a ukrást, šifrovat nebo exfiltrovat citlivá data.
A co je horší, v některých případech může hacker provést útok pass-the-cookie, i když uživatel zavře prohlížeč. Je tedy velmi důležité, abyste přijali nezbytná bezpečnostní opatření, abyste zabránili útokům typu pass-the-cookie. Poučte také své uživatele o únavových útocích MFA, při kterých hackeři posílají uživatelům záplavu push notifikací, aby je unesli.