Кому-то не нужно знать ваши пароли, если вместо этого они успешно украдут файлы cookie вашего браузера.
Многофакторная проверка подлинности добавляет дополнительные уровни безопасности к облачным службам, но она не всегда надежна. Теперь люди проводят атаки с использованием файлов cookie, чтобы обойти MFA и получить доступ к вашим облачным службам. Оказавшись внутри, они могут украсть, эксфильтровать или зашифровать ваши конфиденциальные данные.
Но что такое атака с передачей файлов cookie, как она работает и что вы можете сделать, чтобы защитить себя от нее? Давай выясним.
Что такое атака Pass-the-Cookie?
Использование файла cookie сеанса для обхода аутентификации называется атакой с передачей файла cookie.
Когда пользователь пытается войти в веб-приложение, приложение попросит пользователя ввести имя пользователя и пароль. Если пользователь включил многофакторную аутентификацию, ему необходимо будет указать дополнительный фактор аутентификации, например код, отправленный на его адрес электронной почты или номер телефона.
После того, как пользователь прошел многофакторную аутентификацию, файл cookie сеанса создается и сохраняется в веб-браузере пользователя. Этот файл cookie сеанса позволяет пользователю оставаться в системе вместо повторного прохождения процесса аутентификации всякий раз, когда он переходит на новую страницу веб-приложения.
Сеансовые файлы cookie упрощают взаимодействие с пользователем, поскольку пользователю не нужно повторно аутентифицироваться каждый раз, когда он переходит на следующую страницу веб-приложения. Но сеансовые файлы cookie также представляют серьезную угрозу безопасности.
Если кто-то сможет украсть файлы cookie сеанса и внедрить эти файлы cookie в свои браузеры, веб-приложения будут доверять файлам cookie сеанса и предоставят вору полный доступ.
Если злоумышленник получит доступ к вашей учетной записи Microsoft Azure, Amazon Web Services или Google Cloud, он может нанести непоправимый ущерб.
Как работает атака Pass-the-Cookie
Вот как кто-то выполняет атаку с использованием файла cookie.
Извлечение файла cookie сеанса
Первым шагом в проведении атаки с использованием файла cookie является извлечение файла cookie сеанса пользователя. Существуют различные методы, используемые хакерами для кражи сеансовых файлов cookie, в том числе межсайтовый скриптинг, фишинг, Атаки «человек посередине» (MITM), или троянские атаки.
В наши дни злоумышленники продают украденные сеансовые файлы cookie в даркнете. Это означает, что киберпреступникам не нужно прилагать усилия для извлечения сеансовых файлов cookie пользователей. Приобретая украденные файлы cookie, киберпреступники могут легко спланировать атаку с использованием файлов cookie для получения доступа к конфиденциальным данным и конфиденциальной информации жертвы.
Передача куки
Как только злоумышленник получит файл cookie сеанса пользователя, он вставит украденный файл cookie в свой веб-браузер, чтобы начать новый сеанс. Веб-приложение будет думать, что законный пользователь начинает сеанс, и предоставит доступ.
Каждый веб-браузер обрабатывает файлы cookie сеанса по-разному. Сеансовые файлы cookie, хранящиеся в Mozilla Firefox, не видны в Google Chrome. И когда пользователь выходит из системы, срок действия файла cookie сеанса автоматически истекает.
Если пользователь закрывает браузер без выхода из системы, файлы cookie сеанса могут быть удалены в зависимости от настроек вашего браузера. Веб-браузер может не удалять файлы cookie сеанса, если пользователь настроил браузер на продолжение с того места, на котором он остановился. Это означает, что выход из системы является более надежным средством очистки файлов cookie сеанса, чем закрытие браузера без выхода из веб-приложения.
Как смягчить атаки Pass-the-Cookie
Вот несколько способов предотвратить атаки с использованием файлов cookie.
Внедрение клиентских сертификатов
Если вы хотите защитить своих пользователей от атак с использованием файлов cookie, хорошей идеей может быть предоставление им постоянного токена. И этот токен будет прикреплен к каждому запросу на подключение к серверу.
Вы можете сделать это, используя клиентские сертификаты, хранящиеся в системе, чтобы установить, являются ли они теми, за кого себя выдают. Когда клиент отправляет запрос на подключение к серверу, используя свой сертификат, ваше веб-приложение будет использовать сертификат, чтобы идентифицировать источник сертификата и определить, должен ли клиент иметь доступ.
Хотя это безопасный метод борьбы с атаками с передачей файлов cookie, он подходит только для веб-приложений с ограниченным числом пользователей. Веб-приложения с огромным количеством пользователей сталкиваются с довольно сложной задачей внедрения клиентских сертификатов.
Например, у веб-сайта электронной коммерции есть пользователи по всему миру. Только представьте, как сложно было бы внедрить клиентские сертификаты для каждого покупателя.
Добавьте больше контекстов в запросы на подключение
Добавление дополнительных контекстов к запросам на подключение к серверу для проверки запроса может быть еще одним способом предотвращения атак с использованием файлов cookie.
Например, некоторым компаниям требуется IP-адрес пользователя, прежде чем предоставлять доступ к своим веб-приложениям.
Недостатком этого метода является то, что злоумышленник может находиться в одном и том же общественном месте, например в аэропорту, библиотеке, кафе или организации. В таком случае доступ будет предоставлен как злоумышленнику, так и законному пользователю.
Используйте отпечатки пальцев браузера
Хотя вы, как правило, хотите защита от снятия отпечатков браузера, это действительно может помочь вам бороться с атаками передачи файлов cookie. Снятие отпечатков браузера позволяет вам добавить больше контекста к запросам на подключение. Такая информация, как версия браузера, операционная система, модель устройства пользователя, предпочтительные языковые настройки и расширения браузера могут использоваться для определения контекста любого запроса, чтобы убедиться, что пользователь именно тот, за кого себя выдает быть.
Файлы cookie приобрели плохую репутацию, поскольку они часто используются для отслеживания пользователей, но это варианты их отключения. В отличие от этого, когда вы реализуете снятие отпечатков пальцев браузера как элемент контекста идентификации для любого запрос на подключение, вы удаляете вариант выбора, то есть пользователи не могут отключить или заблокировать браузер снятие отпечатков пальцев.
Использование инструмента обнаружения угроз — отличный способ обнаружить злонамеренные учетные записи.
Хороший инструмент кибербезопасности будет активно сканировать вашу сеть и предупреждать вас о любых необычных действиях, прежде чем они смогут нанести значительный ущерб.
Усильте безопасность, чтобы смягчить атаку Pass-the-Cookie
Атаки с использованием файлов cookie представляют собой серьезную угрозу безопасности. Злоумышленникам не нужно знать ваше имя пользователя, пароль или любой другой дополнительный фактор аутентификации для доступа к данным. Им просто нужно украсть ваши файлы cookie сеанса, и они могут войти в вашу облачную среду и украсть, зашифровать или эксфильтровать конфиденциальные данные.
Что еще хуже, в некоторых случаях хакер может провести атаку с использованием файлов cookie, даже когда пользователь закрыл свой браузер. Поэтому крайне важно, чтобы вы приняли необходимые меры безопасности для предотвращения атак с использованием файлов cookie. Кроме того, расскажите своим пользователям об атаках усталости MFA, в которых хакеры отправляют пользователям множество push-уведомлений, чтобы измотать их.
