Die Multi-Faktor-Authentifizierung (MFA) wird weithin als effektive Sicherheitsmaßnahme angesehen, um unbefugten Zugriff auf Konten zu verhindern. Allerdings haben aktuelle Entwicklungen gezeigt, dass sogenannte Pass-the-Cookie-Angriffe diese Schutzmechanismen umgehen können, insbesondere in Umgebungen wie Office 365 und Azure.
Multi-Faktor-Authentifizierung (MFA) – Die Illusion der Sicherheit
MFA soll durch die Kombination mehrerer Authentifizierungsfaktoren die Sicherheit erhöhen. Doch Angreifer haben Wege gefunden, diese Schutzschicht zu umgehen, indem sie Sitzungscookies ausnutzen. Diese Cookies, wie beispielsweise das ESTSAUTH-Cookie von Microsoft, werden verwendet, um Benutzer während ihrer Sitzung angemeldet zu halten. Wenn ein Angreifer Zugriff auf solche Cookies erhält, kann er sich als legitimer Benutzer ausgeben, ohne erneut MFA durchlaufen zu müssen.
Funktionsweise von Pass-the-Cookie-Angriffen
Ein typisches Angriffsszenario umfasst folgende Schritte:
- Malware-Infektion: Der Angreifer infiziert das Gerät des Opfers mit Malware wie LummaC2, Redline oder Racoon. Diese Schadsoftware durchsucht den Browser nach Sitzungscookies und extrahiert sie.
- Cookie-Extraktion: Die Malware stiehlt spezifische Cookies, beispielsweise das
ESTSAUTH-Cookie, das für die Authentifizierung bei Office 365-Diensten verwendet wird. - Sitzungsübernahme: Der Angreifer implementiert das gestohlene Cookie in seinem eigenen Browser. Dadurch erhält er Zugriff auf das Konto des Opfers, ohne dass eine erneute Authentifizierung erforderlich ist.
Beispiel: Angriff auf Office 365 und Azure
Ein konkretes Beispiel zeigt zwei Anmeldevorgänge in Azure:
- Legitimer Zugriff: Ein Benutzer meldet sich über Chrome auf Windows 11 an und durchläuft die MFA mit der Microsoft Authenticator-App.
- Bösartiger Zugriff: Ein Angreifer verwendet dasselbe Konto auf Ubuntu/Firefox, ohne Passwort oder MFA-Abfrage, lediglich durch Nutzung des gestohlenen
ESTSAUTH-Cookies.
In den Azure-Protokollen erscheinen beide Anmeldungen nahezu identisch, mit minimalen Unterschieden in den Browser- und Betriebssysteminformationen, was die Erkennung solcher Angriffe erschwert.
Warum sind diese Angriffe so gefährlich?
Pass-the-Cookie-Angriffe sind besonders gefährlich, da sie schwer zu erkennen sind. Da die Angreifer legitime Sitzungscookies verwenden, erscheinen ihre Aktivitäten oft wie normale Benutzeraktionen. Zudem können diese Cookies oft über längere Zeiträume gültig bleiben, was den Angreifern ermöglicht, über Wochen oder sogar Monate unbemerkt Zugriff zu haben.
Wie kann man sich vor Pass-the-Cookie-Angriffen schützen?
Um das Risiko solcher Angriffe zu minimieren, sollten folgende Maßnahmen ergriffen werden:
- Regelmäßige Abmeldung: Benutzer sollten dazu angehalten werden, sich nach jeder Sitzung ordnungsgemäß abzumelden, um die Lebensdauer von Sitzungscookies zu verkürzen.
- Verkürzte Gültigkeitsdauer von Cookies: Administratoren sollten die Lebensdauer von Sitzungscookies so einstellen, dass sie nach einer bestimmten Zeit automatisch ablaufen, wodurch das Zeitfenster für potenzielle Angreifer reduziert wird.
- Einsatz von Web Application Firewalls (WAF): Eine WAF kann dabei helfen, verdächtige Aktivitäten zu erkennen und zu blockieren, indem sie den Datenverkehr auf Anwendungsebene analysiert und Angriffe wie Cookie-Diebstahl verhindert.
- Verwendung von Secure- und HttpOnly-Attributen: Durch das Setzen dieser Attribute bei Cookies wird der Zugriff durch nicht autorisierte Skripte erschwert, was das Risiko von Diebstahl verringert.
- Überwachung von Anmeldeaktivitäten: Implementieren Sie Systeme, die ungewöhnliche Anmeldeversuche erkennen, wie z. B. Zugriffe von unbekannten Geräten oder Standorten, und entsprechende Warnungen ausgeben.
- Schulung der Benutzer: Sensibilisieren Sie Ihre Mitarbeiter für die Gefahren von Phishing-Angriffen und den sicheren Umgang mit verdächtigen E-Mails oder Links, um das Risiko einer Malware-Infektion zu reduzieren.
Durch die Umsetzung dieser Maßnahmen können Unternehmen, Institutionen und Organisationen ihre Sicherheitslage verbessern und das Risiko von Pass-the-Cookie-Angriffen erheblich reduzieren.
Wenn du Anmerkungen und Fragen zu Pass-the-Cookie-Angriffen hast, freuen wir uns auf deinen Kommentar : )
Cyber-News
Abonniere jetzt unsere Cyber-News! Erhalte wertvolle Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, den neuesten Betrugsmaschen, Phishing-Methoden und Social-Engineering. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!
Hat dir dieser Beitrag gefallen?
Ähnliche Beiträge
