Защо MFA не е достатъчна защита и как да се подсигурим срещу Pass-the-Cookie атаките

Броят на Pass-the-Cookie (PTC) атаките се увеличава и подкопава статута MFA като достатъчен за защитата на потребителите и организациите инструмент. Чрез тях киберпрестъпниците „отвличат“ бисквитките на сесиите и получават достъп до чувствителни акаунти.

Този тип атаки са насочени основно към платформи като Microsoft 365, YouTube и финансовите услуги. Те ясно показват, че потребителите и организациите не трябва да разчита единствено на MFA за проверка на самоличността за критични профили .

Бисквитките съхраняват токени за удостоверяване и позволяват безпроблемен достъп без повторно въвеждане на входни данни. Хакерите крадат тези токени чрез зловредни софтуери като LummaC2 или Redline. Те често се разпространяван чрез фишинг кампании, маскирани като софтуерни актуализации или оферти за сътрудничество.

След като бъдат извлечени, бисквитките се използват от нападателите за достъп до акаунти, без да се изискват пароли или MFA.

Защо само MFA не е достатъчно

По подразбиране сесиите на Microsoft 365 например се запазват в предиод от 1 до 24 часа. Други платформи запазват бисквитки за неопределено време, ако потребителите изберат „Запомни това устройство“.

Атакуващите използват това, като ги крадат по време на активни сесии или използват infostealer, за да ги събират от заразени устройства. 72% от PTC атаките, открити от Obsidian Security, са насочени към SaaS приложения, включително такива за електронна поща и облачно съхранение.

Дори „устойчивите на фишинг“ методи за MFA, като например хардуерни ключове, са уязвими, ако потребителите имат достъп до акаунти на незащитени устройства.

Ограничаване на заплахата

Мерките за защита от Pass-the-Cookie атаките включват:

• Съкращаване на продължителността на сесиите: Наложете времеви ограничения (например 15 минути за високорискови приложения) и деактивирайте „постоянните“ бисквитки;
• Защита на бисквитките: Маркирайте „бисквитките“ като „Secure“ и „HttpOnly“, за да предотвратите ексфилтрирането на JavaScript;
• Ключове за достъп: Заменете паролите с FIDO2 (Fast IDentity Online 2) ключове. Те обвързват удостоверяването с конкретни устройства и премахват зависимостите от бисквитките;
• Ограничаване на достъпа до устройства: Използвайте MDM решения, за да блокирате достъпа на неоторизирани устройства;
• Обучение на потребителите: Обучете служителите си да избягват подозрителни връзки и задължително да излизат от сесиите, вместо директно да затварят браузърите.