Sofisticirana tehnika napada nazvana “Cookie-Bite” omogućava sajber kriminalcima da tiho zaobiđu višefaktorsku autentifikaciju (MFA) i zadrže uporan pristup okruženjima u oblaku.
Varonis Threat Labs je otkrio da napadači koriste ukradene kolačiće pretraživača kako bi se lažno predstavljali za legitimne korisnike bez potrebe za kredencijalima, što efektivno čini tradicionalne MFA zaštite zastarjelom.
Napad cilja kritične kolačiće za autentifikaciju, posebno ESTSAUTH i ESTSAUTHPERSISTENT, koje koristi Azure Entra ID (ranije Azure Active Directory ). Ovi kolačići održavaju autentifikovane sesije u oblaku i omogućavaju pristup Microsoft 365, Azure portalu i raznim poslovnim aplikacijama.
„Otmicom ovih tokena sesije, napadači mogu zaobići MFA, lažno predstavljati korisnike i kretati se bočno kroz okruženja oblaka“, objasnili su istraživači. “To ih čini jednom od najvrednijih meta za kradljivce informacija i hakere.”
Sajber kriminalci koriste više metoda za krađu ovih autentifikacionih kolačića, uključujući:
- Adversary-in-the-Middle (AITM) napadi koristeći alate obrnutih proksija za presretanje kolačića u realnom vremenu.
- Pretraživača obrađuje damping memorije kako bi izdvojio dešifrovane kolačiće iz aktivnih sesija.
- Maliciozna proširenja pretraživača koja pristupaju kolačićima direktno unutar sigurnosnog konteksta pretraživača.
- Dešifrovanje lokalno pohranjenih baza podataka kolačića pretraživača.
Dokaz koncepta istraživača pokazao je kako napadači mogu kreirati prilagođene Chrome ekstenzije koje tiho izdvajaju kolačiće za autentifikaciju kad god se korisnici prijave na Microsoftov portal za autentifikaciju.
Ovi kolačići se zatim eksfiltriraju na servere koje kontroliše napadač i mogu se ubaciti u pretraživač hakera kako bi se odmah dobio pristup sesiji u oblaku žrtve.
Trajni pristup bez akreditiva
Ono što Cookie-Bite čini posebno opasnim je njegova uporna priroda. Za razliku od tradicionalne krađe akreditiva, ova tehnika ne zahtijeva poznavanje lozinke žrtve ili presretanje MFA kodova. Nakon što se implementira, maliciozna ekstenzija nastavlja izvlačiti svježe autentifikacijske kolačiće svaki put kada se žrtva prijavi.
“Ova tehnika osigurava da se valjani kolačići sesije kontinuirano izdvajaju, pružajući dugoročni neovlašteni pristup čak i ako se lozinke promijene ili sesije opozove”, napomenuli su istraživači.
Više zabrinjava sposobnost napada da zaobiđe Politike uslovnog pristupa (CAP), koje organizacije koriste kao dodatni sigurnosni sloj.
Napadači mogu precizno oponašati legitimne obrasce pristupa prikupljanjem detalja o okruženju žrtve, uključujući domenu, ime hosta, operativni sistem, IP adresu i otisak prsta pretraživača.
Uz uspješnu autentifikaciju, napadači dobijaju pristup kritičnim poslovnim aplikacijama kao što je Microsoft Graph Explorer, omogućavajući im da nabrajaju korisnike, pristupaju e-pošti i potencijalno eskaliraju privilegije unutar organizacije.
Stručnjaci za sigurnost preporučuju nekoliko protumjera za zaštitu od Cookie-Bite napada:
- Kontinuirano nadgledajte nenormalne obrasce ponašanja korisnika i sumnjive prijave.
- Iskoristite Microsoft mogućnosti otkrivanja rizika tokom događaja prijave.
- Konfigurišite politike uslovnog pristupa koje prisiljavaju prijavu samo s kompatibilnih uređaja.
- Implementirajte pravila Chrome-a da ograničite proširenja pretraživača na odobrenu listu dozvoljenih.
- Uvedite mehanizme zaštite tokena za otkrivanje i sprječavanje krađe tokena.
Kako se usvajanje oblaka ubrzava, ove tehnike otmice kolačića ističu evoluirajuću prirodu napada zasnovanih na autentifikaciji . Organizacije moraju prilagoditi svoje sigurnosne stavove kako bi se pozabavile ovim sofisticiranim prijetnjama koje ciljaju na fundamentalne mehanizme povjerenja u sistemima autentifikacije u oblaku.
Izvor: CyberSecurityNews