Någon behöver inte känna till dina lösenord om de lyckas stjäla dina webbläsarcookies istället.
Multifaktorautentisering lägger till extra lager av säkerhet till molntjänster, men det är inte alltid idiotsäkert. Människor utför nu pass-the-cookie-attacker för att komma runt MFA och få tillgång till dina molntjänster. När de väl är inne kan de stjäla, exfiltrera eller kryptera din känsliga data.
Men vad är egentligen en pass-the-cookie-attack, hur fungerar den och vad kan du göra för att skydda dig från den? Låt oss ta reda på.
Vad är en Pass-the-Cookie-attack?
Att använda en sessionscookie för att kringgå autentisering kallas en pass-the-cookie-attack.
När en användare försöker logga in på en webbapplikation kommer applikationen att be användaren att ange sitt användarnamn och lösenord. Om användaren har aktiverat multifaktorautentisering måste de skicka in ytterligare en autentiseringsfaktor som en kod som skickas till deras e-postadress eller telefonnummer.
När användaren har klarat multifaktorautentisering skapas en sessionscookie och lagras i användarens webbläsare. Denna sessionscookie tillåter användaren att vara inloggad istället för att gå igenom autentiseringsprocessen om och om igen när de navigerar till en ny sida i webbapplikationen.
Sessionscookies förenklar användarupplevelsen eftersom användaren inte behöver autentisera sig på nytt varje gång de går till nästa sida i webbapplikationen. Men sessionscookies utgör också ett allvarligt säkerhetshot.
Om någon kan stjäla sessionscookies och injicera dessa cookies i deras webbläsare, kommer webbapplikationer att lita på sessionscookies och ge tjuven fullständig åtkomst.
Om en angripare råkar få åtkomst till ditt Microsoft Azure-, Amazon Web Services- eller Google Cloud-konto kan de orsaka irreparabel skada.
Hur en Pass-the-Cookie-attack fungerar
Så här utför någon en pass-the-cookie-attack.
Extrahera sessionskakan
Det första steget i att utföra en pass-the-cookie-attack är att extrahera en användares sessionscookie. Det finns olika metoder som hackare använder för att stjäla sessionscookies, inklusive cross-site scripting, nätfiske, Man-in-the-middle (MITM) attacker, eller trojanska attacker.
Skadliga aktörer säljer stulna sessionscookies på den mörka webben nuförtiden. Detta innebär att cyberbrottslingar inte behöver anstränga sig för att extrahera användarnas sessionscookies. Genom att köpa stulna cookies kan cyberbrottslingar enkelt planera en pass-the-cookie-attack för att få tillgång till ett offers konfidentiella data och känslig information.
Skickar kakan
När infiltratören har fått användarens sessionscookie kommer de att injicera den stulna cookien i sin webbläsare för att starta en ny session. Webbapplikationen kommer att tro att en legitim användare startar en session och beviljar åtkomst.
Varje webbläsare hanterar sessionscookies på olika sätt. Sessionscookies som lagras i Mozilla Firefox är inte synliga för Google Chrome. Och när en användare loggar ut upphör sessionskakan automatiskt.
Om en användare stänger webbläsaren utan att logga ut kan sessionscookies raderas beroende på din webbläsarinställningar. En webbläsare får inte radera sessionscookies om användaren har ställt in webbläsaren att fortsätta där de slutade. Det betyder att utloggning är ett mer tillförlitligt sätt att rensa sessionscookies än att stänga av webbläsaren utan att logga ut från webbapplikationen.
Hur man mildrar Pass-the-Cookie-attacker
Här är några sätt att förhindra pass-the-cookie-attacker.
Implementera kundcertifikat
Om du vill skydda dina användare från attack-the-cookie-attacker kan det vara en bra idé att ge dem en ihållande token. Och denna token kommer att bifogas varje serveranslutningsförfrågan.
Du kan få detta att hända genom att använda klientcertifikat lagrade i systemet för att fastställa om de är de de utger sig för att vara. När en klient gör en begäran om serveranslutning med sitt certifikat, kommer din webbapplikation att använda certifikat för att identifiera certifikatets källa och avgöra om klienten ska tillåtas åtkomst.
Även om detta är en säker metod för att bekämpa pass-the-cookie-attacker, är den endast lämplig för webbapplikationer med ett begränsat antal användare. Webbapplikationer med ett enormt antal användare tycker att det är ganska utmanande att implementera klientcertifikat.
Till exempel har en e-handelswebbplats användare över hela världen. Föreställ dig bara hur svårt det skulle vara att implementera kundcertifikat för varje shoppare.
Lägg till fler sammanhang till anslutningsförfrågningar
Att lägga till fler sammanhang till serveranslutningsförfrågningar för att verifiera begäran kan vara ett annat sätt att förhindra pass-the-cookie-attacker.
Till exempel kräver vissa företag en användares IP-adress innan de beviljar åtkomst till sina webbapplikationer.
En nackdel med denna metod är att en angripare kan vara närvarande i samma offentliga utrymme, till exempel en flygplats, bibliotek, kafé eller organisation. I ett sådant fall kommer både den cyberbrottsling och den legitima användaren att beviljas åtkomst.
Använd webbläsarfingeravtryck
Även om du kanske vanligtvis vill försvara sig mot webbläsarfingeravtryck, det kan faktiskt hjälpa dig att bekämpa pass-the-cookie-attacker. Med webbläsarfingeravtryck kan du lägga till mer sammanhang till anslutningsförfrågningar. Information som webbläsarversion, operativsystem, användarens enhetsmodell, föredragna språkinställningar och webbläsartillägg kan användas för att identifiera sammanhanget för varje begäran för att säkerställa att användaren är exakt den de hävdar att vara.
Cookies har fått ett dåligt namn eftersom de ofta används för att spåra användare, men de är alternativ för att inaktivera dem. Däremot när du implementerar webbläsarfingeravtryck som en del av identitetskontext till någon anslutningsbegäran tar du bort valmöjligheten, vilket innebär att användare inte kan inaktivera eller blockera webbläsaren fingeravtryck.
Att använda ett verktyg för att upptäcka hot är ett utmärkt sätt att upptäcka konton som används på ett skadligt sätt.
Ett bra cybersäkerhetsverktyg kommer proaktivt att skanna ditt nätverk och varna dig om ovanlig aktivitet innan det kan göra någon betydande skada.
Förstärk säkerheten för att mildra Pass-the-Cookie-attacken
Pass-the-cookie-attacker är ett allvarligt säkerhetshot. Angripare behöver inte känna till ditt användarnamn, lösenord eller någon annan ytterligare autentiseringsfaktor för att komma åt data. De behöver bara stjäla dina sessionscookies, och de kan komma in i din molnmiljö och stjäla, kryptera eller exfiltrera känslig data.
Vad värre är, i vissa fall kan en hackare utföra en pass-the-cookie-attack även när en användare har stängt sin webbläsare. Så det blir avgörande att du vidtar nödvändiga säkerhetsåtgärder för att förhindra pass-the-cookie-attacker. Utbilda också dina användare om MFA-trötthetsattacker där hackare skickar användarna en störtflod av push-meddelanden för att slita ner dem.