Multi-Faktor-Authentisierung umgehen: Malware klaut automatisiert Cookies
Kriminelle klauen automatisiert Browser-Cookies, um Multi-Faktor-Authentisierung (MFA) zu umgehen. Dazu setzen sie Malware und Scripte ein, die die Cookie-Textdateien aus den Datenbanken der Browser kopieren. Die geklauten Cookies werden zudem im Darknet verkauft, analysiert Esecurityplanet in einem Bericht vom 19. August 2022(öffnet im neuen Fenster) .
Sich effizient gegen diese Art von Angriff zu schützen, ist schwierig. Laut dem Sicherheitsforscher von Esecurityplanet Julien Maury nutzt beispielsweise Google Chrome die gleichen Verschlüsselungsverfahren für Multi-Faktor-Authentisierung-Cookies und Kreditkartendaten. Er sagt zudem, dass die Browser-internen Funktionen, um Passwörter zu speichern, eher nicht genutzt werden sollten. Es sei denn, ein Masterpasswort zur Verschlüsselung schütze die Credentials.
Auf korrekte Einstellungen als Admin achten
Der Forscher sagt, dass die neuste Version von der Botnet-Malware Emotet bereits diese Art des Angriffs durchführe. Administratoren sollten darauf achten, dass den Cookies die korrekten Flags wie "HttpOnly, Secure attribute" gesetzt sowie passende CORS-Header durchgereicht werden.
Der IT-Sicherheitsforscher betont, dass Unternehmen dennoch MFA einsetzen sollten, um ihre Daten und Mitarbeiter zu schützen. Selbst wenn es solche Angriffe gibt, schützt MFA gegen andere Vektoren: "Wenn ein Sicherheitssystem zu stark ist, konzentrieren sich entschlossene Angreifer auf den menschlichen Faktor. Die Reauthentifizierung [nach automatischem Logout] ist in der Realität nicht die zeitaufwendigste Aufgabe" .
Bereits im Jahr 2015 haben Angreifer Cookies ausgelesen: Damals sollte dies durch Man-in-the-Middle-Attacken geschehen . Das Problem war und ist, dass Cookies verwundbar sind, weil sie nicht in jedem Fall eine Identitätsprüfung vornehmen, etwa bei Geschwister-Domains.