2FA wird durch Cookie-Klau geknackt

23. August 2022, 10:12
  • security
  • lücke
  • cybercrime
  • sophos
image
Foto: Mae Mu / Unsplash

Sophos berichtet, dass Hacker zunehmend Cookies abgreifen und damit erfolgreich Zwei-Faktor-Login-Mechanismen aushebeln können.

Sean Gallagher, Senior Threat Researcher beim Security-Software-Anbieter Sophos, beschreibt in einem Blogbeitrag einen relativ neuen Trend in der Hackerszene. Usernamen und Passwörter zu klauen ist eine traditionelle Methode von Hackern, um in IT-Systeme zu gelangen. Da sich der Gebrauch von 2-Faktor-Authentisierungsmechanismen (2FA) aber immer mehr verbreitet, ist die Effizienz der klassischen Methode gesunken. Hacker würden ihre Aufmerksamkeit daher vermehrt auf das Stehlen von Cookies legen, die eine Möglichkeit bieten, auch 2FA zu knacken. Mittlerweile seien bereits in vielen Malware-Familien, darunter Emotet, Mechanismen zum Kopieren von Cookies eingebaut worden.
Dabei geht es um Cookies, die Daten von Browser-Sessions enthalten. Die meisten Webservices setzen solche Cookies, damit sich Anwender nicht jedes einzelne Mal neu anmelden müssen, sondern erst nach einer festgelegten Zeitspanne. Solange das Ablaufdatum eines solchen Cookies noch nicht erreicht ist, können Angreifer damit aktive Sessions oder solche, die erst kürzlich stattgefunden haben, klonen, ohne dass sie sich anmelden müssen.

image
Der übliche Ablauf einer Websession. Grafik: Sophos

Cookie-Marktplätze

Die "Pass the Cookie" genannte Methode sei für Angreifer erfolgreich genug, so Gallagher, dass im Darknet bereits florierende Cookie-Marktplätze entstanden sind. Diese würden vor allem von der grossen Masse der eher einfach gestrickten Hacker benutzt, die Methode des Cookie-Stehlens sei aber mittlerweile auch unter fortgeschrittenen Hackern und Ransomware-Banden weit verbreitet. Diese würden die Methode sowohl für das erstmalige Eindringen in Netzwerke nutzen als auch zum weiteren Vordringen in Systeme, in denen sie bereits drin sind.
Der Sophos-Mann beschreibt einen solchen Vorfall. Mitglieder der Ransomwarebande Lapsus$ sagen, sie hätten ein gestohlenes Session-Cookie verwendet, das sie auf dem Cookie-Marktplatz "Genesis" erworben haben, um ins IT-System des Game-Publishers Electronic Arts (EA) zu gelangen. Das Cookie stammte von einem EA-Angestellten und erlaubte es den Hackern, in die Slack-Instanz von EA zu gelangen. Unter der Identität des EA-Angestellten konnten sie dann einen IT-Admin dazu überreden, ihnen einen Netzwerk-Zugang zu geben. Das Ergebnis: 780 Gigabyte an Daten wurden abgegriffen, darunter Quellcode von Spielen.

image
Eine Pass-the-Cookie-Attacke. Grafik: Sophos

Manche - aber nicht alle - Webservices verwenden laut Gallagher zusätzliche Methoden, um die Herkunft von Cookies zu prüfen, zum Beispiel den Check von IP-Adressen. Aber ein Angreifer, der bereits Netzwerkzugang hat, kann auch diese Hürde bewältigen.

Security vs. Userzufriedenheit

Wie kann man sich schützen beziehungsweise die Gefahr verringern? Eine Methode ist es, die Laufzeit von Cookies zu verringern, so dass sich Anwender öfter neu anmelden müssen. Aber eben, das ist ein Kompromiss zwischen mehr Sicherheit und mehr Aufwand für die User, was diese, wie Security-Spezialisten sehr gut wissen, nicht gerade gerne haben.
Sophos selbst, so Gallagher, verwende in seiner Security-Software verhaltensbasierte Regeln, um den Missbrauch von Cookies durch Scripts oder nicht vertrauenswürdige Programme zu verhindern. Ausserdem suche die Software mit einer Reihe von Memory-Checks und ebenfalls verhaltensbasierten Regeln nach Malware, die versucht Informationen zu stehlen.

Loading

Mehr zum Thema

image

Neue Chefin für das BSI

Die Tech-Expertin Claudia Plattner soll die Spitze des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) übernehmen, nachdem das Amt monatelang unbesetzt war.

publiziert am 7.2.2023
image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

EFK: Skyguide muss das Continuity Management verbessern

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

publiziert am 7.2.2023
image

Uni Zürich blockiert ausländische Website-Zugriffe

Aus dem Ausland kann nicht mehr auf die Website und Mailboxen der Universität Zürich zugegriffen werden.

publiziert am 7.2.2023