Qualcuno non ha bisogno di conoscere le tue password se invece riesce a rubare i cookie del tuo browser.
L'autenticazione a più fattori aggiunge ulteriori livelli di sicurezza ai servizi cloud, ma non è sempre infallibile. Le persone ora eseguono attacchi pass-the-cookie per aggirare l'MFA e ottenere l'accesso ai servizi cloud. Una volta entrati, possono rubare, esfiltrare o crittografare i tuoi dati sensibili.
Ma cos'è esattamente un attacco pass-the-cookie, come funziona e cosa puoi fare per proteggerti da esso? Scopriamolo.
Che cos'è un attacco pass-the-cookie?
L'utilizzo di un cookie di sessione per aggirare l'autenticazione è chiamato attacco pass-the-cookie.
Quando un utente tenta di accedere a un'applicazione Web, l'applicazione chiederà all'utente di inserire nome utente e password. Se l'utente ha abilitato l'autenticazione a più fattori, dovrà inviare un fattore di autenticazione aggiuntivo come un codice inviato al proprio indirizzo e-mail o numero di telefono.
Una volta che l'utente ha superato l'autenticazione a più fattori, un cookie di sessione viene creato e memorizzato nel browser web dell'utente. Questo cookie di sessione consente all'utente di rimanere connesso invece di ripetere ripetutamente il processo di autenticazione ogni volta che accede a una nuova pagina dell'applicazione web.
I cookie di sessione semplificano l'esperienza dell'utente in quanto l'utente non deve autenticarsi nuovamente ogni volta che passa alla pagina successiva dell'applicazione web. Ma anche i cookie di sessione rappresentano una grave minaccia per la sicurezza.
Se qualcuno è in grado di rubare i cookie di sessione e iniettare tali cookie nei propri browser, le applicazioni Web si fideranno dei cookie di sessione e garantiranno al ladro l'accesso completo.
Nel caso in cui un utente malintenzionato riesca ad accedere al tuo account Microsoft Azure, Amazon Web Services o Google Cloud, può causare danni irreparabili.
Come funziona un attacco pass-the-cookie
Ecco come qualcuno esegue un attacco pass-the-cookie.
Estrazione del Cookie di sessione
Il primo passaggio per eseguire un attacco pass-the-cookie consiste nell'estrarre il cookie di sessione di un utente. Esistono vari metodi utilizzati dagli hacker per rubare i cookie di sessione, inclusi cross Site Scripting, phishing, Attacchi man-in-the-middle (MITM)., O attacchi di trojan.
Gli attori malintenzionati vendono cookie di sessione rubati sul dark web in questi giorni. Ciò significa che i criminali informatici non devono compiere sforzi per estrarre i cookie di sessione degli utenti. Acquistando cookie rubati, i criminali informatici possono facilmente pianificare un attacco pass-the-cookie per ottenere l'accesso ai dati riservati e alle informazioni sensibili di una vittima.
Passaggio del biscotto
Una volta che l'infiltrato ha il cookie di sessione dell'utente, inietterà il cookie rubato nel proprio browser web per avviare una nuova sessione. L'applicazione Web riterrà che un utente legittimo stia avviando una sessione e concederà l'accesso.
Ogni browser Web gestisce i cookie di sessione in modo diverso. I cookie di sessione memorizzati in Mozilla Firefox non sono visibili a Google Chrome. E quando un utente si disconnette, il cookie di sessione scade automaticamente.
Se un utente chiude il browser senza disconnettersi, i cookie di sessione potrebbero essere eliminati in base alle impostazioni del browser. Un browser Web potrebbe non eliminare i cookie di sessione se l'utente ha impostato il browser per continuare da dove si era interrotto. Ciò significa che la disconnessione è un mezzo più affidabile per cancellare i cookie di sessione rispetto alla chiusura del browser senza disconnettersi dall'applicazione web.
Come mitigare gli attacchi pass-the-cookie
Ecco alcuni modi per prevenire gli attacchi pass-the-cookie.
Implementare i certificati client
Se vuoi proteggere i tuoi utenti dagli attacchi pass-the-cookie, fornire loro un token persistente può essere una buona idea. E questo token verrà allegato a ogni richiesta di connessione al server.
Puoi fare in modo che ciò accada utilizzando i certificati client archiviati nel sistema per stabilire se sono chi affermano di essere. Quando un client effettua una richiesta di connessione al server utilizzando il proprio certificato, l'applicazione Web utilizzerà il file certificate per identificare l'origine del certificato e determinare se al client deve essere consentito l'accesso.
Sebbene questo sia un metodo sicuro per combattere gli attacchi pass-the-cookie, è adatto solo per applicazioni web con un numero limitato di utenti. Le applicazioni Web con un numero enorme di utenti trovano piuttosto difficile implementare i certificati client.
Ad esempio, un sito di e-commerce ha utenti in tutto il mondo. Immagina quanto sarebbe difficile implementare i certificati client per ogni acquirente.
Aggiungi altri contesti alle richieste di connessione
L'aggiunta di più contesti alle richieste di connessione al server per verificare la richiesta può essere un altro modo per prevenire gli attacchi pass-the-cookie.
Ad esempio, alcune aziende richiedono l'indirizzo IP di un utente prima di concedere l'accesso alle loro applicazioni web.
Uno svantaggio di questo metodo è che un utente malintenzionato può essere presente nello stesso spazio pubblico, come un aeroporto, una biblioteca, un bar o un'organizzazione. In tal caso, sia il criminale informatico che l'utente legittimo avranno accesso.
Usa l'impronta digitale del browser
Anche se in genere potresti volerlo difendersi dal fingerprinting del browser, può effettivamente aiutarti a combattere gli attacchi pass-the-cookie. L'impronta digitale del browser consente di aggiungere più contesto alle richieste di connessione. Informazioni come versione del browser, sistema operativo, modello del dispositivo dell'utente, impostazioni della lingua preferita e le estensioni del browser possono essere utilizzate per identificare il contesto di qualsiasi richiesta per garantire che l'utente sia esattamente chi afferma essere.
I cookie hanno acquisito un brutto nome poiché vengono spesso utilizzati per tracciare gli utenti, ma sono opzioni per disabilitarli. Al contrario, quando si implementa l'impronta digitale del browser come elemento del contesto dell'identità per qualsiasi richiesta di connessione, rimuovi l'opzione di scelta, il che significa che gli utenti non possono disabilitare o bloccare il browser impronte digitali.
L'utilizzo di uno strumento di rilevamento delle minacce è un modo eccellente per rilevare gli account che vengono utilizzati in modo dannoso.
Un buon strumento di sicurezza informatica analizzerà in modo proattivo la tua rete e ti avviserà di qualsiasi attività insolita prima che possa causare danni significativi.
Rafforza la sicurezza per mitigare gli attacchi pass-the-cookie
Gli attacchi pass-the-cookie rappresentano una grave minaccia per la sicurezza. Gli aggressori non devono conoscere il nome utente, la password o qualsiasi altro fattore di autenticazione aggiuntivo per accedere ai dati. Devono solo rubare i cookie della tua sessione e possono entrare nel tuo ambiente cloud e rubare, crittografare o esfiltrare dati sensibili.
Quel che è peggio, in alcuni casi, un hacker può eseguire un attacco pass-the-cookie anche quando un utente ha chiuso il browser. Quindi diventa fondamentale adottare le misure di sicurezza necessarie per prevenire gli attacchi pass-the-cookie. Inoltre, istruisci i tuoi utenti sugli attacchi di affaticamento MFA in cui gli hacker inviano agli utenti una raffica di notifiche push per logorarli.