Alguém não precisa saber suas senhas se roubar os cookies do seu navegador com sucesso.
A autenticação multifator adiciona camadas extras de segurança aos serviços em nuvem, mas nem sempre é infalível. As pessoas agora estão realizando ataques pass-the-cookie para contornar o MFA e obter acesso aos seus serviços em nuvem. Uma vez dentro, eles podem roubar, exfiltrar ou criptografar seus dados confidenciais.
Mas o que exatamente é um ataque pass-the-cookie, como funciona e o que você pode fazer para se proteger dele? Vamos descobrir.
O que é um ataque Pass-the-Cookie?
O uso de um cookie de sessão para ignorar a autenticação é chamado de ataque pass-the-cookie.
Quando um usuário tenta fazer login em um aplicativo da Web, o aplicativo solicitará que o usuário insira seu nome de usuário e senha. Se o usuário habilitou a autenticação multifator, ele precisará enviar um fator de autenticação adicional, como um código enviado para seu endereço de e-mail ou número de telefone.
Depois que o usuário passa pela autenticação multifator, um cookie de sessão é criado e armazenado no navegador da Web do usuário. Esse cookie de sessão permite que o usuário permaneça conectado em vez de passar pelo processo de autenticação repetidamente sempre que navegar para uma nova página do aplicativo da web.
Os cookies de sessão simplificam a experiência do usuário, pois o usuário não precisa se autenticar novamente toda vez que passa para a próxima página do aplicativo da web. Mas os cookies de sessão também representam uma grave ameaça à segurança.
Se alguém conseguir roubar cookies de sessão e injetar esses cookies em seus navegadores, os aplicativos da Web confiarão nos cookies de sessão e concederão ao ladrão acesso completo.
Caso um invasor obtenha acesso à sua conta do Microsoft Azure, Amazon Web Services ou Google Cloud, ele pode causar danos irreparáveis.
Como funciona um ataque Pass-the-Cookie
Aqui está como alguém realiza um ataque de passar o biscoito.
Extraindo o Cookie de Sessão
A primeira etapa na execução de um ataque de passagem de cookie é extrair o cookie de sessão de um usuário. Existem vários métodos que os hackers empregam para roubar cookies de sessão, incluindo script entre sites, phishing, Ataques man-in-the-middle (MITM), ou ataques de troiano.
Atualmente, atores maliciosos vendem cookies de sessões roubadas na dark web. Isso significa que os cibercriminosos não precisam se esforçar para extrair os cookies de sessão dos usuários. Ao comprar cookies roubados, os cibercriminosos podem facilmente planejar um ataque de passagem de cookie para obter acesso aos dados confidenciais e informações confidenciais da vítima.
passando o biscoito
Depois que o invasor tiver o cookie de sessão do usuário, ele injetará o cookie roubado em seu navegador da Web para iniciar uma nova sessão. O aplicativo da web pensará que um usuário legítimo está iniciando uma sessão e concederá acesso.
Cada navegador da web lida com os cookies de sessão de maneira diferente. Os cookies de sessão armazenados no Mozilla Firefox não são visíveis para o Google Chrome. E quando um usuário faz logoff, o cookie da sessão expira automaticamente.
Se um usuário fechar o navegador sem fazer logoff, os cookies de sessão podem ser excluídos dependendo das configurações do seu navegador. Um navegador da web pode não excluir cookies de sessão se o usuário tiver configurado o navegador para continuar de onde parou. Isso significa que o logoff é um meio mais confiável de limpar os cookies da sessão do que desligar o navegador sem fazer logoff do aplicativo da web.
Como Mitigar Ataques Pass-the-Cookie
Aqui estão algumas maneiras de prevenir ataques pass-the-cookie.
Implementar certificados de cliente
Se você deseja proteger seus usuários contra ataques de passagem de cookie, fornecer a eles um token persistente pode ser uma boa ideia. E esse token será anexado a cada solicitação de conexão do servidor.
Você pode fazer isso acontecer usando certificados de clientes armazenados no sistema para determinar se eles são quem afirmam ser. Quando um cliente faz uma solicitação de conexão de servidor usando seu certificado, seu aplicativo da web usará o certificate para identificar a origem do certificado e determinar se o acesso do cliente deve ser permitido.
Embora este seja um método seguro para combater ataques pass-the-cookie, é adequado apenas para aplicativos da Web com um número limitado de usuários. Aplicações da Web com um número enorme de usuários acham bastante desafiador implementar certificados de cliente.
Por exemplo, um site de comércio eletrônico tem usuários em todo o mundo. Imagine como seria difícil implementar certificados de cliente para cada comprador.
Adicionar mais contextos às solicitações de conexão
Adicionar mais contextos às solicitações de conexão do servidor para verificar a solicitação pode ser outra maneira de evitar ataques de passagem de cookie.
Por exemplo, algumas empresas exigem o endereço IP de um usuário antes de conceder acesso a seus aplicativos da web.
Uma desvantagem desse método é que um invasor pode estar presente no mesmo espaço público, como um aeroporto, biblioteca, cafeteria ou organização. Nesse caso, tanto o cibercriminoso quanto o usuário legítimo terão acesso.
Use a impressão digital do navegador
Embora você normalmente queira defender-se contra a impressão digital do navegador, pode realmente ajudá-lo a combater ataques de passagem de biscoito. A impressão digital do navegador permite adicionar mais contexto às solicitações de conexão. Informações como versão do navegador, sistema operacional, modelo do dispositivo do usuário, configurações de idioma preferencial e as extensões do navegador podem ser usadas para identificar o contexto de qualquer solicitação para garantir que o usuário seja exatamente quem ele afirma ser.
Os cookies adquiriram um nome ruim, pois são frequentemente usados para rastrear usuários, mas são opções para desativá-los. Por outro lado, quando você implementa a impressão digital do navegador como um elemento de contexto de identidade para qualquer solicitação de conexão, você remove a opção de escolha, o que significa que os usuários não podem desabilitar ou bloquear o navegador impressão digital.
Usar uma ferramenta de detecção de ameaças é uma excelente maneira de detectar contas que estão sendo usadas maliciosamente.
Uma boa ferramenta de segurança cibernética examinará proativamente sua rede e o alertará sobre qualquer atividade incomum antes que ela possa causar danos significativos.
Fortaleça a segurança para atenuar o ataque pass-the-cookie
Os ataques pass-the-cookie são uma grave ameaça à segurança. Os invasores não precisam saber seu nome de usuário, senha ou qualquer outro fator de autenticação adicional para acessar os dados. Eles só precisam roubar seus cookies de sessão e podem entrar em seu ambiente de nuvem e roubar, criptografar ou exfiltrar dados confidenciais.
O que é pior, em alguns casos, um hacker pode realizar um ataque pass-the-cookie mesmo quando o usuário fechou o navegador. Portanto, torna-se crucial que você tome as medidas de segurança necessárias para evitar ataques pass-the-cookie. Além disso, eduque seus usuários sobre ataques de fadiga MFA nos quais os hackers enviam aos usuários uma enxurrada de notificações push para desgastá-los.