Hacker überlisten Multi-Faktor-Authentifizierung mit Cookie-Klau
Sophos beschreibt in einem aktuellen Report, wie Hacker Multi-Faktor-Authentifizierungslösungen austricksen. Zu diesem Zweck fangen sie Session-Cookies ab, um sich als legitime User auszugeben. Derartige Attacken nehmen zu.
Ein Passwort genügt heutzutage nicht mehr. Um die Übernahme eines Accounts und Identitätsdiebstahl zu verhindern, raten Sicherheitsexperten heutzutage zur Nutzung einer Multi-Faktor-Authentifizierung (MFA). Dabei wird ein Passwort durch eine weitere Überprüfung, etwa ein SMS-Code, verstärkt.
Aber auch diese Form der digitalen Zutrittskontrolle bietet keinen 100-prozentigen Schutz. In einem aktuellen Report "Cookie stealing: the new perimeter bypass" dokumentiert der britische Cybersecurity-Anbieter Sophos, wie Hacker MFA umgehen.
Mit Keksen gegen MFA
Um die MFA-Abwehr zu überlisten, klauen Hacker sogenannte Session-Cookies. Diese werden erstellt, wenn ein Benutzer oder eine Benutzerin sich über einen Webbrowser anmeldet. Sobald die Person authentifiziert wurde, erstellt der Browser einen Cookie, der sagt, dass es sich um eine zugriffsberechtigte Person handelt. Diese Zugriffstokens sind allerdings bei manchen Systemen sehr langlebig. Einige werden laut Sophos nur gelöscht, wenn sich die Nutzerin oder der Nutzer ausdrücklich vom Dienst abmeldet.
Hacker versuchen daher, diese Cookies abzufangen. Gelingt ihnen das, können sie die Tokens in eine neue Web-Sitzung einschleusen und sich so als eine authentifizierte Person ausgeben. Dies wird als "Pass the Cookie"-Angriff bezeichnet. Sobald die Hacker auf diese Weise Zugriff auf ein Unternehmensnetzwerk und dessen Ressourcen erhalten, können sie diese für weitere Angriffe nutzen. "Wenn Angreifende im Besitz von Session-Cookies sind, können sie sich frei in einem Netzwerk bewegen", sagt Sean Gallagher, Principal Threat Researcher bei Sophos.
Cookie-Klau nimmt zu
"Im vergangenen Jahr haben wir beobachtet, dass Cyberkriminelle vermehrt auf Cookie-Diebstahl zurückgreifen, um die zunehmende Verbreitung von MFA zu umgehen", sagt Gallagher. "Sie nutzen neue und verbesserte Malware – etwa Raccoon Stealer – um den Diebstahl von Authentifizierungs-Cookies, auch bekannt als Access Tokens, zu vereinfachen."
Wie Sophos weiter schreibt, geschieht dies manchmal auch sehr zielgerichtet. Das Cybersecurity-Unternehmen nennt zwei aktuelle Vorfälle, bei denen die Hacker es jeweils auf ein bestimmtes Ziel abgesehen hatten. In einem Fall seien die Angreifer monatelang im Netzwerk des Unternehmens gewesen, um Cookies zu sammeln. Die Hacker nutzten auch legitime Compiler-Tools, um die Tokens abzufangen.
Eine einfache Lösung gibt es laut dem Cybersecurity-Anbieter nicht. "Zwar können Dienste beispielsweise die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass sich die Benutzerinnen und Benutzer häufiger neu authentifizieren müssen", sagt Gallagher.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Peoplefone lanciert Mobile-Abos für Geschäftskunden
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
Endpoint Detection and Response als Managed Service nutzen
Die wichtigsten Werkzeuge für die Abwehr
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Der Astrologe rettet den Tag ... oder auch nicht
Cybersicherheit mit Infinigate Cloud
Umfassende Cybersicherheit für OT-Umgebungen
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
