Nogen behøver ikke at kende dine adgangskoder, hvis de i stedet stjæler dine browsercookies.
Multi-faktor autentificering tilføjer ekstra lag af sikkerhed til cloud-tjenester, men det er ikke altid idiotsikkert. Folk udfører nu pass-the-cookie-angreb for at komme uden om MFA og få adgang til dine cloud-tjenester. Når de er inde, kan de stjæle, eksfiltrere eller kryptere dine følsomme data.
Men hvad er et pass-the-cookie-angreb helt præcist, hvordan fungerer det, og hvad kan du gøre for at beskytte dig mod det? Lad os finde ud af det.
Hvad er et Pass-the-Cookie-angreb?
Brug af en sessionscookie til at omgå godkendelse kaldes et pass-the-cookie-angreb.
Når en bruger forsøger at logge ind på en webapplikation, vil applikationen bede brugeren om at indtaste deres brugernavn og adgangskode. Hvis brugeren har aktiveret multifaktorgodkendelse, skal de indsende en ekstra godkendelsesfaktor som f.eks. en kode sendt til deres e-mailadresse eller telefonnummer.
Når brugeren har bestået multi-faktor autentificering, oprettes en sessionscookie og gemmes i brugerens webbrowser. Denne sessionscookie giver brugeren mulighed for at forblive logget ind i stedet for at gennemgå godkendelsesprocessen igen og igen, hver gang de navigerer til en ny side i webapplikationen.
Sessionscookies forenkler brugeroplevelsen, da brugeren ikke behøver at autentificere igen, hver gang de går videre til den næste side i webapplikationen. Men sessionscookies udgør også en alvorlig sikkerhedstrussel.
Hvis nogen er i stand til at stjæle sessionscookies og injicere disse cookies i deres browsere, vil webapplikationer stole på sessionscookies og give tyven fuld adgang.
Hvis en hacker tilfældigvis får adgang til din Microsoft Azure-, Amazon Web Services- eller Google Cloud-konto, kan de forårsage uoprettelig skade.
Sådan fungerer et Pass-the-Cookie-angreb
Her er, hvordan nogen udfører et pass-the-cookie-angreb.
Udpakning af sessionscookien
Det første trin i at udføre et pass-the-cookie-angreb er at udtrække en brugers sessionscookie. Der er forskellige metoder hackere anvender til at stjæle session cookies, herunder scripting på tværs af websteder, phishing, Man-in-the-middle (MITM) angreb, eller trojanske angreb.
Ondsindede aktører sælger stjålne sessionscookies på det mørke web i disse dage. Dette betyder, at cyberkriminelle ikke behøver at gøre en indsats for at udtrække brugernes sessionscookies. Ved at købe stjålne cookies kan cyberkriminelle nemt planlægge et pass-the-cookie-angreb for at få adgang til et offers fortrolige data og følsomme oplysninger.
Sender cookien
Når først infiltratøren har brugerens sessionscookie, injicerer de den stjålne cookie i deres webbrowser for at starte en ny session. Webapplikationen vil tro, at en legitim bruger starter en session og giver adgang.
Hver webbrowser håndterer sessionscookies forskelligt. Sessionscookies gemt i Mozilla Firefox er ikke synlige for Google Chrome. Og når en bruger logger af, udløber sessionscookien automatisk.
Hvis en bruger lukker browseren uden at logge af, kan sessionscookies blive slettet afhængigt af dine browserindstillinger. En webbrowser må ikke slette sessionscookies, hvis brugeren har indstillet browseren til at fortsætte, hvor de slap. Dette betyder at logge af er et mere pålideligt middel til at rydde sessionscookies end at lukke browseren ned uden at logge af webapplikationen.
Sådan afbødes Pass-the-Cookie-angreb
Her er et par måder at forhindre pass-the-cookie-angreb på.
Implementere klientcertifikater
Hvis du vil beskytte dine brugere mod angreb, der sendes videre til cookien, kan det være en god idé at give dem et vedvarende token. Og dette token vil blive knyttet til hver serverforbindelsesanmodning.
Du kan få dette til at ske ved at bruge klientcertifikater, der er gemt på systemet, til at fastslå, om de er dem, de hævder at være. Når en klient foretager en serverforbindelsesanmodning ved hjælp af deres certifikat, vil din webapplikation bruge certifikat for at identificere certifikatets kilde og bestemme, om klienten skal have adgang.
Selvom dette er en sikker metode til at bekæmpe pass-the-cookie-angreb, er den kun egnet til webapplikationer med et begrænset antal brugere. Webapplikationer med et enormt antal brugere finder det ret udfordrende at implementere klientcertifikater.
For eksempel har et e-handelswebsted brugere over hele verden. Forestil dig bare, hvor svært det ville være at implementere klientcertifikater for hver shopper.
Tilføj flere sammenhænge til forbindelsesanmodninger
Tilføjelse af flere kontekster til serverforbindelsesanmodninger for at bekræfte anmodningen kan være en anden måde at forhindre pass-the-cookie-angreb på.
For eksempel kræver nogle virksomheder en brugers IP-adresse, før de giver adgang til deres webapplikationer.
En ulempe ved denne metode er, at en angriber kan være til stede i det samme offentlige rum, såsom en lufthavn, et bibliotek, en café eller en organisation. I et sådant tilfælde vil både den cyberkriminelle og den legitime bruger få adgang.
Brug browserfingeraftryk
Mens du måske typisk vil forsvare sig mod browser-fingeraftryk, kan det faktisk hjælpe dig med at bekæmpe pass-the-cookie-angreb. Browserfingeraftryk giver dig mulighed for at tilføje mere kontekst til forbindelsesanmodninger. Oplysninger såsom browserversion, operativsystem, brugerens enhedsmodel, foretrukne sprogindstillinger og browserudvidelser kan bruges til at identificere konteksten af enhver anmodning for at sikre, at brugeren er præcis den, de hævder at være.
Cookies har fået et dårligt navn, da de ofte bruges til at spore brugere, men de er muligheder for at deaktivere dem. Derimod, når du implementerer browserfingeraftryk som et element af identitetskontekst til enhver forbindelsesanmodning, fjerner du valgmuligheden, hvilket betyder, at brugere ikke kan deaktivere eller blokere browseren fingeraftryk.
Brug af et trusselsdetekteringsværktøj er en glimrende måde at opdage konti, der bliver brugt ondsindet.
Et godt cybersikkerhedsværktøj vil proaktivt scanne dit netværk og advare dig om enhver usædvanlig aktivitet, før det kan gøre nogen væsentlig skade.
Styrk sikkerheden for at afbøde Pass-the-Cookie-angrebet
Pass-the-cookie-angreb er en alvorlig sikkerhedstrussel. Angribere behøver ikke at kende dit brugernavn, din adgangskode eller nogen anden ekstra godkendelsesfaktor for at få adgang til data. De skal bare stjæle dine sessionscookies, og de kan komme ind i dit cloudmiljø og stjæle, kryptere eller udskille følsomme data.
Hvad værre er, i nogle tilfælde kan en hacker udføre et pass-the-cookie-angreb, selv når en bruger har lukket deres browser. Så det bliver afgørende, at du tager de nødvendige sikkerhedsforanstaltninger for at forhindre pass-the-cookie-angreb. Uddan også dine brugere om MFA-træthedsangreb, hvor hackere sender brugerne en byge af push-meddelelser for at slide dem ned.