Die Gefahr Session-basierter Attacken steigt

Die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) hat es Angreifern erschwert, Accounts zu kompromittieren. MFA ist jedoch kein Allheilmittel, denn Angreifer können sie unter Nutzung von Authentifizierungs-Token umgehen und dadurch Zugriff auf sensible Systeme und Daten erhalten. CyberArk nennt die zentralen Risiken und korrespondierende Maßnahmen zur Gefahrenreduzierung. [...]

Der Hauptvorteil von Session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden. (c) stock.adobe.com/Have a nice day

In einer Zeit der zunehmenden MFA-Nutzung zielen immer mehr Angriffe auf die Authentifizierungs-Token ab. Zu solchen Token gehören beispielsweise Cookies oder API-Schlüssel. Sie werden häufig im Browser, in Dateien oder in Datenbanken gespeichert und über das Netz übertragen, wenn ein Benutzer oder ein Rechner mit einer Webanwendung oder einer API interagiert.

Der Hauptvorteil von Session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden.

Cookie-Diebstahl

Die bekannteste und häufigste Form eines Angriffs nach der Authentifizierung ist der Cookie-Diebstahl, bei dem die von Webbrowsern zur Authentifizierung von Benutzern verwendeten Cookies abgefangen oder manipuliert werden. Ein solcher Angriff kann auf verschiedene Weise erfolgen. Beispiele sind:

  • die Ausnutzung von Schwachstellen in der Webanwendung oder im Browser mit Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder XML External Entity (XXE) Injection
  • das Sniffing oder Abfangen des Netzwerkverkehrs zwischen dem Benutzer und dem Webserver und das Extrahieren der Cookies aus den HTTP-Headern
  • der Zugriff auf den Speicher des Browsers, in dem sich die Cookies befinden

Session Tokens im Visier

Cookies sind jedoch nicht die einzige Form von Session-Token, auf die Angriffe abzielen können. Da Webanwendungen und APIs immer komplexer und vielfältiger werden und immer mehr Maschinen und Geräte über das Internet miteinander kommunizieren, werden auch andere Arten von Token immer häufiger verwendet. Dazu gehören vor allem API-Schlüssel, Maschinenzertifikate und OAuth-Token. Sie können von Angreifern auf ähnliche Weise wie Cookies gestohlen oder gefälscht werden. Beispiele dafür sind:

  • API-Schlüssel können durch Schwachstellen in der API oder im Client, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Datenbanken, in denen sie gespeichert sind, offengelegt werden.
  • Maschinenzertifikate können durch Schwachstellen im TLS-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Hardwaremodule, in denen sie gespeichert sind, kompromittiert werden.
  • OAuth-Token schließlich können ebenfalls durch Schwachstellen im OAuth-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf den Browser oder die Datenbanken, in denen sie gespeichert sind, entwendet werden.

Schutzmaßnahmen

Angriffe nach der Authentifizierung sind eine ernste und wachsende Bedrohung, und Unternehmen müssen proaktive Maßnahmen ergreifen, um sich und ihre Benutzer vor diesen Angriffen zu schützen. Einige Best-Practices und Empfehlungen, die Organisationen befolgen können, sind:

  • Die Anwendung des Least-Privilege-Prinzips und Begrenzung des Anwendungsbereichs und der Gültigkeit der Session-Token. Sie sollten zum einen nur die minimalen Zugriffsrechte haben, die bei Bedarf (Just-in-Time) für die jeweilige Aufgabe oder Interaktion benötigt werden. Zum anderen sollten sie so schnell wie möglich ablaufen oder widerrufen werden.
  • Die Nutzung einer starken Verschlüsselung und einer Integritätsprüfung für die Netzwerkkommunikation und die Session-Token. Die Token sollten verschlüsselt und vom Aussteller signiert sein und nur über sichere Kanäle wie HTTPS oder TLS übertragen werden.
  • Die Überwachung und Prüfung der Nutzung und Aktivität von Session-Token. Der Aussteller sollte die Token nachverfolgen und jedes verdächtige Verhalten wie mehrfache oder gleichzeitige Anmeldungen und ungewöhnliche Standorte oder Geräte erkennen und melden.
  • Die Schulung und Information der Benutzer und Entwickler hinsichtlich der Risiken und Best-Practices bei der Session-Token-Sicherheit. Die Nutzer sollten sich der Gefahren von Phishing, Malware und Social Engineering bewusst sein, Entwickler müssen mit den neuesten Sicherheitsstandards und -richtlinien vertraut sein sowie sichere Programmier- und Testverfahren anwenden.

„Angriffe nach der Authentifizierung stellen eine komplexe und sich ständig weiterentwickelnde Herausforderung dar. Unternehmen müssen auf solche Bedrohungen vorbereitet sein, indem sie Sicherheitsmaßnahmen wie das Least-Privilege-Prinzip oder das Monitoring ergreifen. Darüber hinaus können auch Lösungen wie der CyberArk Secure Browser, die Cookies vollständig von der Festplatte entfernen, eine zusätzliche Schutzschicht bieten“, erklärt Shay Nahari, Vice President von CyberArk Red Team Services.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*