22. März 2025

9. Juli 2024

Die Gefahr Session-basierter Attacken steigt

Die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) hat es Angreifern erschwert, Accounts zu kompromittieren. MFA ist jedoch kein Allheilmittel, denn Angreifer können sie unter Nutzung von Authentifizierungs-Token umgehen und dadurch Zugriff auf sensible Systeme und Daten erhalten. CyberArk nennt die zentralen Risiken und korrespondierende Maßnahmen zur Gefahrenreduzierung. [...]

Multiple factor authentication MFA method using portable devices to protect data and account on internet data security concept, businessman using laptop with secure computer technology graphics icon. — Der Hauptvorteil von Session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden. (c) stock.adobe.com/Have a nice day

In einer Zeit der zunehmenden MFA-Nutzung zielen immer mehr Angriffe auf die Authentifizierungs-Token ab. Zu solchen Token gehören beispielsweise Cookies oder API-Schlüssel. Sie werden häufig im Browser, in Dateien oder in Datenbanken gespeichert und über das Netz übertragen, wenn ein Benutzer oder ein Rechner mit einer Webanwendung oder einer API interagiert.

Der Hauptvorteil von Session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden.

Cookie-Diebstahl

Die bekannteste und häufigste Form eines Angriffs nach der Authentifizierung ist der Cookie-Diebstahl, bei dem die von Webbrowsern zur Authentifizierung von Benutzern verwendeten Cookies abgefangen oder manipuliert werden. Ein solcher Angriff kann auf verschiedene Weise erfolgen. Beispiele sind:

die Ausnutzung von Schwachstellen in der Webanwendung oder im Browser mit Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder XML External Entity (XXE) Injection
das Sniffing oder Abfangen des Netzwerkverkehrs zwischen dem Benutzer und dem Webserver und das Extrahieren der Cookies aus den HTTP-Headern
der Zugriff auf den Speicher des Browsers, in dem sich die Cookies befinden

Session Tokens im Visier

Cookies sind jedoch nicht die einzige Form von Session-Token, auf die Angriffe abzielen können. Da Webanwendungen und APIs immer komplexer und vielfältiger werden und immer mehr Maschinen und Geräte über das Internet miteinander kommunizieren, werden auch andere Arten von Token immer häufiger verwendet. Dazu gehören vor allem API-Schlüssel, Maschinenzertifikate und OAuth-Token. Sie können von Angreifern auf ähnliche Weise wie Cookies gestohlen oder gefälscht werden. Beispiele dafür sind:

API-Schlüssel können durch Schwachstellen in der API oder im Client, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Datenbanken, in denen sie gespeichert sind, offengelegt werden.
Maschinenzertifikate können durch Schwachstellen im TLS-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Hardwaremodule, in denen sie gespeichert sind, kompromittiert werden.
OAuth-Token schließlich können ebenfalls durch Schwachstellen im OAuth-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf den Browser oder die Datenbanken, in denen sie gespeichert sind, entwendet werden.

Schutzmaßnahmen

Angriffe nach der Authentifizierung sind eine ernste und wachsende Bedrohung, und Unternehmen müssen proaktive Maßnahmen ergreifen, um sich und ihre Benutzer vor diesen Angriffen zu schützen. Einige Best-Practices und Empfehlungen, die Organisationen befolgen können, sind:

Die Anwendung des Least-Privilege-Prinzips und Begrenzung des Anwendungsbereichs und der Gültigkeit der Session-Token. Sie sollten zum einen nur die minimalen Zugriffsrechte haben, die bei Bedarf (Just-in-Time) für die jeweilige Aufgabe oder Interaktion benötigt werden. Zum anderen sollten sie so schnell wie möglich ablaufen oder widerrufen werden.
Die Nutzung einer starken Verschlüsselung und einer Integritätsprüfung für die Netzwerkkommunikation und die Session-Token. Die Token sollten verschlüsselt und vom Aussteller signiert sein und nur über sichere Kanäle wie HTTPS oder TLS übertragen werden.
Die Überwachung und Prüfung der Nutzung und Aktivität von Session-Token. Der Aussteller sollte die Token nachverfolgen und jedes verdächtige Verhalten wie mehrfache oder gleichzeitige Anmeldungen und ungewöhnliche Standorte oder Geräte erkennen und melden.
Die Schulung und Information der Benutzer und Entwickler hinsichtlich der Risiken und Best-Practices bei der Session-Token-Sicherheit. Die Nutzer sollten sich der Gefahren von Phishing, Malware und Social Engineering bewusst sein, Entwickler müssen mit den neuesten Sicherheitsstandards und -richtlinien vertraut sein sowie sichere Programmier- und Testverfahren anwenden.

„Angriffe nach der Authentifizierung stellen eine komplexe und sich ständig weiterentwickelnde Herausforderung dar. Unternehmen müssen auf solche Bedrohungen vorbereitet sein, indem sie Sicherheitsmaßnahmen wie das Least-Privilege-Prinzip oder das Monitoring ergreifen. Darüber hinaus können auch Lösungen wie der CyberArk Secure Browser, die Cookies vollständig von der Festplatte entfernen, eine zusätzliche Schutzschicht bieten“, erklärt Shay Nahari, Vice President von CyberArk Red Team Services.

Warum sich Klicks auf Phishing-Links am Arbeitsplatz im Jahr 2024 verdreifacht haben 

21. März 2025 Ray Canzanese *

Angreifer wissen, dass Mitarbeiter bei eingehenden E-Mails misstrauisch sind. Deshalb platzieren sie Phishing-Links immer häufiger an anderen Stellen im Internet. Sie erstellen gefälschte Websites oder Anmeldeseiten, die sich als legitime Organisationen ausgeben. Ihr Ziel ist es, die Anmeldeinformationen der Besucher zu stehlen. […]

Resilient und autonom wie eine Raumstation

21. März 2025 Paul Butnaru *

Autonom durch KI Gefahren erkennen, sich redundant aufstellen und Ausfallszenarien schon in der Entwicklung einkalkulieren: Auf der internationalen Raumstation ISS implementierte IT zeigt den Weg für die irdische IT-Sicherheit. […]

KI-Agenten brauchen menschliche Aufsicht

21. März 2025

Agentic AI bietet Unternehmen große Vorteile, muss aber von menschlichen Instanzen überwacht werden, um regulatorische Vorgaben und ethische Standards zu erfüllen. […]

Unternehmen im DACH-Raum zunehmend mit KI-Angriffen konfrontiert

21. März 2025

Unternehmen im DACH-Raum sehen sich verstärkt mit KI-gesteuerten Cyberangriffen konfrontiert und verzeichnen einen Anstieg von Multichannel-Cyberattacken. Besonders kritisch ist außerdem der unkontrollierte Zugriff auf sensible Unternehmensinfrastrukturen über persönliche Geräte und Konten von Mitarbeitenden. […]

OC3 2025: Top-Event für Confidential Computing

21. März 2025

Die fünfte Auflage der Open Confidential Computing Conference (OC3) steigt am 27. März 2025 im hybriden Format in Berlin sowie online und vereint Spitzenexperten aus den Bereichen IT-Sicherheit, Cloud und KI-Datenschutz. […]

Generative KI wird bereits von knapp 44 Prozent der Onlinebevölkerung genutzt. (c) Pexels

Nutzung und Wahrnehmung generativer KI zur Informationssuche in Deutschland

21. März 2025 pi/wf

In welchem Ausmaß, für welche Zwecke und aus welchen Gründen die deutsche Bevölkerung generative künstliche Intelligenz in Anwendungen wie ChatGPT oder Google Gemini nutzt, hat das Forschungsprojekt “Generative künstliche Intelligenz für die Informationsnavigation”, gefördert vom BMBF, untersucht. […]

Gerold Pulverer, Business Management der Insight in Österreich (c) Insight Technology Solutions GmbH

DaaS als Gamechanger im IT-Management

20. März 2025 Chistof Baumgartner

Die moderne Arbeitswelt erfordert Flexibilität und Mobilität. Mitarbeitende nutzen längst nicht nur einen Büro-PC, sondern mehrere IT-Geräte. Unternehmen stehen dadurch vor der Frage: Wie lässt sich dieses Geräte-Management effizient und nachhaltig gestalten? Insight bietet mit »Flex for Devices« ein Device as a Service (DaaS)-Modell, das strukturierte Verwaltung, ökologische Nachhaltigkeit und finanzielle Flexibilität ermöglicht. ITWELT.at hat dazu mit Gerold Pulverer, Business Management von Insight in Österreich, ein Interview geführt. […]

Die wichtigsten IT-Trends für 2025

20. März 2025

Peter Lieber, Unternehmer und Vize-Präsident des Verbandes Österreichischer Software Innovationen, skizziert, welche IT-Themen heuer auf der Agenda von IT-Verantwortlichen ganz oben stehen sollten. […]

Deep Observability und fünf weitere Schritte zur NIS-2-Konformität

20. März 2025 Tiho Saric *

Noch immer steht das genaue Datum nicht fest, ab wann die europäische NIS2-2 Richtline offiziell in Kraft treten wird. Das übergeordnete Ziel ist bekanntlich, die Cybersicherheit und -resilienz in Unternehmen auf europäischer und nationaler Ebene zu stärken. Sichtbarkeit bis zur Netzwerkebene (Deep Observability) wird daher immer entscheidender und wandelt sich für Unternehmen vom „Nice-to-have“ zum „Must-have“. […]

Die Gefahr Session-basierter Attacken steigt

Cookie-Diebstahl

Session Tokens im Visier

Schutzmaßnahmen

Mehr Artikel

Warum sich Klicks auf Phishing-Links am Arbeitsplatz im Jahr 2024 verdreifacht haben

Resilient und autonom wie eine Raumstation

KI-Agenten brauchen menschliche Aufsicht

Unternehmen im DACH-Raum zunehmend mit KI-Angriffen konfrontiert

OC3 2025: Top-Event für Confidential Computing

Nutzung und Wahrnehmung generativer KI zur Informationssuche in Deutschland

DaaS als Gamechanger im IT-Management

Die wichtigsten IT-Trends für 2025

Deep Observability und fünf weitere Schritte zur NIS-2-Konformität

Be the first to comment

Leave a Reply Antworten abbrechen