Die Gefahr Session-basierter Attacken steigt

Die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) hat es Angreifern erschwert, Accounts zu kompromittieren. MFA ist jedoch kein Allheilmittel, denn Angreifer können sie unter Nutzung von Authentifizierungs-Token umgehen und dadurch Zugriff auf sensible Systeme und Daten erhalten. CyberArk nennt die zentralen Risiken und korrespondierende Maßnahmen zur Gefahrenreduzierung. [...]

Der Hauptvorteil von Session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden. (c) stock.adobe.com/Have a nice day

In einer Zeit der zunehmenden MFA-Nutzung zielen immer mehr Angriffe auf die Authentifizierungs-Token ab. Zu solchen Token gehören beispielsweise Cookies oder API-Schlüssel. Sie werden häufig im Browser, in Dateien oder in Datenbanken gespeichert und über das Netz übertragen, wenn ein Benutzer oder ein Rechner mit einer Webanwendung oder einer API interagiert.

Der Hauptvorteil von Session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden.

Cookie-Diebstahl

Die bekannteste und häufigste Form eines Angriffs nach der Authentifizierung ist der Cookie-Diebstahl, bei dem die von Webbrowsern zur Authentifizierung von Benutzern verwendeten Cookies abgefangen oder manipuliert werden. Ein solcher Angriff kann auf verschiedene Weise erfolgen. Beispiele sind:

  • die Ausnutzung von Schwachstellen in der Webanwendung oder im Browser mit Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder XML External Entity (XXE) Injection
  • das Sniffing oder Abfangen des Netzwerkverkehrs zwischen dem Benutzer und dem Webserver und das Extrahieren der Cookies aus den HTTP-Headern
  • der Zugriff auf den Speicher des Browsers, in dem sich die Cookies befinden

Session Tokens im Visier

Cookies sind jedoch nicht die einzige Form von Session-Token, auf die Angriffe abzielen können. Da Webanwendungen und APIs immer komplexer und vielfältiger werden und immer mehr Maschinen und Geräte über das Internet miteinander kommunizieren, werden auch andere Arten von Token immer häufiger verwendet. Dazu gehören vor allem API-Schlüssel, Maschinenzertifikate und OAuth-Token. Sie können von Angreifern auf ähnliche Weise wie Cookies gestohlen oder gefälscht werden. Beispiele dafür sind:

  • API-Schlüssel können durch Schwachstellen in der API oder im Client, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Datenbanken, in denen sie gespeichert sind, offengelegt werden.
  • Maschinenzertifikate können durch Schwachstellen im TLS-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Hardwaremodule, in denen sie gespeichert sind, kompromittiert werden.
  • OAuth-Token schließlich können ebenfalls durch Schwachstellen im OAuth-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf den Browser oder die Datenbanken, in denen sie gespeichert sind, entwendet werden.

Schutzmaßnahmen

Angriffe nach der Authentifizierung sind eine ernste und wachsende Bedrohung, und Unternehmen müssen proaktive Maßnahmen ergreifen, um sich und ihre Benutzer vor diesen Angriffen zu schützen. Einige Best-Practices und Empfehlungen, die Organisationen befolgen können, sind:

  • Die Anwendung des Least-Privilege-Prinzips und Begrenzung des Anwendungsbereichs und der Gültigkeit der Session-Token. Sie sollten zum einen nur die minimalen Zugriffsrechte haben, die bei Bedarf (Just-in-Time) für die jeweilige Aufgabe oder Interaktion benötigt werden. Zum anderen sollten sie so schnell wie möglich ablaufen oder widerrufen werden.
  • Die Nutzung einer starken Verschlüsselung und einer Integritätsprüfung für die Netzwerkkommunikation und die Session-Token. Die Token sollten verschlüsselt und vom Aussteller signiert sein und nur über sichere Kanäle wie HTTPS oder TLS übertragen werden.
  • Die Überwachung und Prüfung der Nutzung und Aktivität von Session-Token. Der Aussteller sollte die Token nachverfolgen und jedes verdächtige Verhalten wie mehrfache oder gleichzeitige Anmeldungen und ungewöhnliche Standorte oder Geräte erkennen und melden.
  • Die Schulung und Information der Benutzer und Entwickler hinsichtlich der Risiken und Best-Practices bei der Session-Token-Sicherheit. Die Nutzer sollten sich der Gefahren von Phishing, Malware und Social Engineering bewusst sein, Entwickler müssen mit den neuesten Sicherheitsstandards und -richtlinien vertraut sein sowie sichere Programmier- und Testverfahren anwenden.

„Angriffe nach der Authentifizierung stellen eine komplexe und sich ständig weiterentwickelnde Herausforderung dar. Unternehmen müssen auf solche Bedrohungen vorbereitet sein, indem sie Sicherheitsmaßnahmen wie das Least-Privilege-Prinzip oder das Monitoring ergreifen. Darüber hinaus können auch Lösungen wie der CyberArk Secure Browser, die Cookies vollständig von der Festplatte entfernen, eine zusätzliche Schutzschicht bieten“, erklärt Shay Nahari, Vice President von CyberArk Red Team Services.


Mehr Artikel

Helmut Reich, Managing Director proALPHA Software Austria (c) Erich Reismann
Interview

ERP auf dem Weg zum Digital Twin

Die in einem ERP-System hinterlegten Daten spiegeln in der Regel die Wirklichkeit nur bedingt wider. Mit Hilfe der künstlichen Intelligenz soll sich das bald ändern. proALPHA entwickelt seine Kernapplikation im Zusammenspiel mit seiner schnell wachsenden ERP+-Familie in Richtung eines Digital Twin weiter. Das Ziel: die 1:1-Abbildung der realen Wirtschaftswelt. […]

Ismet Koyun, CEO und Gründer der KOBIL Gruppe (c) KOBIL Gruppe
Kommentar

Wie SuperApps den Mobilitätsmarkt revolutionieren können

Bahntickets, Busse, Carsharing, Taxis – wer mobil sein will, benötigt eine Vielzahl von Apps. Das muss nicht sein, sagt Ismet Koyun, Gründer und CEO des Unternehmens KOBIL, Weltmarktführer für digitale Identitäts- und mobile Sicherheitslösungen. Neue Technologien könnten all diese Angebote in einer einfachen, komfortablen und sicheren Lösung bündeln. Intelligente, vernetzte Verkehrssysteme und Datenaustausch auf österreichischer und europäischer Ebene bereiten dafür den Weg und schaffen die nötigen Voraussetzungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*