Sophos beschreibt im neuesten X-Ops Report ‚Cookie stealing: the new perimeter bypass‘, dass Cyberkriminelle zunehmend gestohlene Session-Cookies nutzen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. In einigen Fällen ist der Cookie-Diebstahl eine gezielte Attacke, bei der Cookie-Daten von kompromittierten Systemen ausgelesen werden. Dabei nutzen die Kriminellen legitime ausführbare Dateien, um ihre Aktivitäten zu verschleiern. Sobald sie mithilfe der Cookies einen Zugang zu web- oder cloudbasierten oder Unternehmens-Ressourcen haben, können sie diese für weitere Angriffe nutzen. Dazu gehören beispielsweise die Kompromittierung von E-Mails oder Social Engineering, um zusätzliche Systemzugänge zu ergaunern oder sogar für die Änderung von Daten oder Quellcode-Repositories zu sorgen.
Sitzungs- oder Authentifizierungs-Cookies sind eine bestimmte Art von Cookie, die von einem Webbrowser gespeichert werden, wenn sich ein Benutzer bei Webressourcen anmeldet. Sobald Cyberkriminelle in ihren Besitz gelangen, können sie einen ‚Pass-the-Cookie‘-Angriff durchführen, bei dem sie das Zugriffstoken in eine neue Web-Sitzung einschleusen und dem Browser vorgaukeln, es melde sich ein authentifizierter Benutzer an. Damit ist keine weitere Authentifizierung mehr erforderlich. Da bei der Verwendung von MFA auch ein Token erstellt und in einem Webbrowser gespeichert wird, kann derselbe Angriff verwendet werden, um diese zusätzliche Authentifizierungsebene zu umgehen. Erschwerend kommt hinzu, dass viele legitime webbasierte Anwendungen langlebige Cookies anlegen, die selten oder nie ablaufen; Einige Cookies werden nur dann gelöscht, wenn sich der Benutzer ausdrücklich vom Dienst abmeldet.
„Während wir in der Vergangenheit massenhaften Cookie-Diebstahl beobachten konnten, gehen Cyberkriminelle jetzt gezielt und präzise vor, um Cookies zu stehlen. Da ein großer Teil des Arbeitsplatzes inzwischen webbasiert ist, gibt es keine Grenzen für die bösartigen Aktivitäten, die Angreifer mit gestohlenen Sitzungscookies durchführen können. Sie können Cloud-Infrastrukturen manipulieren, geschäftliche E-Mails kompromittieren, andere Mitarbeitende zum Herunterladen von Malware überreden oder sogar Code für Produkte umschreiben. Die einzige Grenze ist ihre eigene Kreativität“, so Gallagher. „Erschwerend kommt hinzu, dass es keine einfache Lösung gibt. Zwar können Dienste beispielsweise die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass man sich häufiger neu authentifizieren müsste. Da Angreifer legitime Anwendungen nutzen, um Cookies abzugreifen, müssen Unternehmen die Erkennung von Malware mit einer Verhaltensanalyse kombinieren.“
