Die zunehmende Verbreitung der Multi-Faktor-Authentifizierung (MFA) hat es Angreifern erschwert, Accounts zu kompromittieren. MFA ist jedoch kein Allheilmittel, denn Angreifer können sie unter Nutzung von Authentifizierungs-Token umgehen und dadurch Zugriff auf sensible Systeme und Daten erhalten. CyberArk nennt die zentralen Risiken und korrespondierende Maßnahmen zur Gefahrenreduzierung.
In einer Zeit der zunehmenden MFA-Nutzung zielen immer mehr Angriffe auf die Authentifizierungs-Token ab. Zu solchen Token gehören beispielsweise Cookies oder API-Schlüssel. Sie werden häufig im Browser, in Dateien oder in Datenbanken gespeichert und über das Netz übertragen, wenn ein Benutzer oder ein Rechner mit einer Webanwendung oder einer API interagiert.
Der Hauptvorteil von Session-basierten Attacken für die Angreifer besteht darin, dass sie nach der Authentifizierungsphase erfolgen. Der Benutzer ist also bereits validiert, sodass Angreifer Sicherheitskontrollen wie MFA umgehen können, die in der Anmeldephase angewendet werden.
Die bekannteste und häufigste Form eines Angriffs nach der Authentifizierung ist der Cookie-Diebstahl, bei dem die von Webbrowsern zur Authentifizierung von Benutzern verwendeten Cookies abgefangen oder manipuliert werden. Ein solcher Angriff kann auf verschiedene Weise erfolgen. Beispiele sind:
- die Ausnutzung von Schwachstellen in der Webanwendung oder im Browser mit Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder XML External Entity (XXE) Injection.
- das Sniffing oder Abfangen des Netzwerkverkehrs zwischen dem Benutzer und dem Webserver und das Extrahieren der Cookies aus den HTTP-Headern.
- der Zugriff auf den Speicher des Browsers, in dem sich die Cookies befinden.
Cookies sind jedoch nicht die einzige Form von Session-Token, auf die Angriffe abzielen können. Da Webanwendungen und APIs immer komplexer und vielfältiger werden und immer mehr Maschinen und Geräte über das Internet miteinander kommunizieren, werden auch andere Arten von Token immer häufiger verwendet.
Dazu gehören vor allem API-Schlüssel, Maschinenzertifikate und OAuth-Token. Sie können von Angreifern auf ähnliche Weise wie Cookies gestohlen oder gefälscht werden. Beispiele dafür sind:
- API-Schlüssel können durch Schwachstellen in der API oder im Client, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Datenbanken, in denen sie gespeichert sind, offengelegt werden.
- Maschinenzertifikate können durch Schwachstellen im TLS-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf die Dateien oder Hardwaremodule, in denen sie gespeichert sind, kompromittiert werden.
- OAuth-Token schließlich können ebenfalls durch Schwachstellen im OAuth-Protokoll oder in der Implementierung, durch das Netzwerk-Sniffing oder durch den Zugriff auf den Browser oder die Datenbanken, in denen sie gespeichert sind, entwendet werden.
Angriffe nach der Authentifizierung sind eine ernste und wachsende Bedrohung, und Unternehmen müssen proaktive Maßnahmen ergreifen, um sich und ihre Benutzer vor diesen Angriffen zu schützen. Einige Best-Practices und Empfehlungen, die Organisationen befolgen können, sind:
- die Anwendung des Least-Privilege-Prinzips und Begrenzung des Anwendungsbereichs und der Gültigkeit der Session-Token. Sie sollten zum einen nur die minimalen Zugriffsrechte haben, die bei Bedarf (Just-in-Time) für die jeweilige Aufgabe oder Interaktion benötigt werden. Zum anderen sollten sie so schnell wie möglich ablaufen oder widerrufen werden.
- die Nutzung einer starken Verschlüsselung und einer Integritätsprüfung für die Netzwerkkommunikation und die Session-Token. Die Token sollten verschlüsselt und vom Aussteller signiert sein und nur über sichere Kanäle wie HTTPS oder TLS übertragen werden.
- die Überwachung und Prüfung der Nutzung und Aktivität von Session-Token. Der Aussteller sollte die Token nachverfolgen und jedes verdächtige Verhalten wie mehrfache oder gleichzeitige Anmeldungen und ungewöhnliche Standorte oder Geräte erkennen und melden.
- die Schulung und Information der Benutzer und Entwickler hinsichtlich der Risiken und Best-Practices bei der Session-Token-Sicherheit. Die Nutzer sollten sich der Gefahren von Phishing, Malware und Social Engineering bewusst sein, Entwickler müssen mit den neuesten Sicherheitsstandards und -richtlinien vertraut sein sowie sichere Programmier- und Testverfahren anwenden.
„Unternehmen müssen auf Angriffe nach der Authentifizierung vorbereitet sein, indem sie Sicherheitsmaßnahmen wie das Least-Privilege-Prinzip oder das Monitoring ergreifen. Darüber hinaus können auch Lösungen wie der CyberArk Secure Browser, die Cookies vollständig von der Festplatte entfernen, eine zusätzliche Schutzschicht bieten“, erklärt Shay Nahari, Vice President von CyberArk Red Team Services.