מחקר: גובר השימוש בעוגיות זמניות (Cookies) לעקיפת מנגנוני אימות רב-גורמי

מחקר: גובר השימוש בעוגיות זמניות (Cookies) לעקיפת מנגנוני אימות רב-גורמי
מאת: מערכת Telecom News, 22.8.22, 14:15

עוגיות זמניות גנובות מאפשרות לתוקפים להתחזות למשתמשים לגיטימיים, להשיג גישה לרשתות ומערכות בארגונים ולנוע בהן בחופשיות.

סופוס (Sophos), חברת אבטחת המידע והסייבר, פרסמה מחקר בשם "Cookie stealing: the new perimeter bypass" (גניבת עוגיות: הפירצה החדשה שקוראת לגנב) שבוצע ע"י צוות מומחי הסייבר Sophos X-Ops וסוקר את הגידול במתקפות הסייבר המשתמשות בעוגיות זמניות (Session Cookie) גנובות כדי לעקוף מנגוני אימות רב־גורמי וכך להשיג גישה לרשת ולמערכות מידע בארגון.

בחלק מהמקרים, גניבת עוגיות זמניות היא בעצמה מתקפת סייבר ממוקדת, שמנצלת מערכות לא מאובטחות כדי להשתמש בהן לאיסוף עוגיות זמניות, תוך שימוש בתכניות מחשב לגיטימיות כדי להסוות את הפעילות הזדונית.

מרגע שהשיגו התוקפים גישה לחשבונות משתמשים ולשירותי ענן באמצעות עוגיות זמניות גנובות, הם ממשיכים לשלב הבא של המתקפה הכולל פריצה לחשבונות מייל, שימוש בהנדסה חברתית לקבלת גישה למערכות נוספות ואפילו ביצוע שינויים במאגרי מידע ובקוד מקור.

עוגיות זמניות הן סוג של עוגייה (Cookie) למטרת אימות זהות שהדפדפן שומר במחשב ברגע שמשתמש לגיטימי מתחבר לאחד מחשבונותיו. השגתן מאפשרת לתוקפים לבצע מתקפת 'העברת עוגייה', שבה הם מזריקים את אסימון הגישה הגנוב לתוך סשן חדש וכך מצליחים להערים על הדפדפן והשרת לחשוב, שמדובר במשתמש לגיטימי, שכבר אימת את זהותו.

מכיוון שעוגיות זמניות נוצרות ונשמרות במכשיר גם כחלק מתהליך האימות הרב־גורמי, גניבתן מאפשרת לתוקפים לעקוף גם את מנגנון האימות הזה, שנועד לשפר את אבטחת חשבונות המשתמשים.

איום זה מתעצם לנוכח העובדה, שיישומי רשת ושירותי ענן רבים משתמשים בעוגיות (Cookies) עם זמן תפוגה ארוך, ולעתים אפילו בעוגיות ללא תאריך תפוגה ושתוקפן פג אך ורק אם המשתמשים התנתקו מחשבונם באופן יזום.

התפתחות תעשיית הנוזקה כשירות (MaaS), שבה מוצעות תוכנות זדוניות מוכנות לשימוש לכל המעוניין, מאפשרת גם לעברייני סייבר חסרי ידע ולא מנוסים להצטרף למאמצי גניבת פרטי ההזדהות. כך למשל, תוקפים לא מנוסים יכולים לקנות סוס טרויאני כמו Raccoon Stealer המיועד לגניבת מידע והם משתמשים בו כדי לגנוב כל מידע רגיש, כמו סיסמאות או עוגיות, שאותו הם מעמידים למכירה בזירות מסחר של פושעי סייבר כמו Genesis. פושעי סייבר וקבוצות כופרה קונים את המידע הזה ונעזרים בו כדי לייעל את המתקפות שלהם.

עם זאת, ב-2 אירועי סייבר, שחקרה לאחרונה החברה, נקטו התוקפים בגישה ממוקדת יותר. באחד מהם, שהו התוקפים ברשת המותקפת במשך חודשים כשהם אוספים עוגיות מהדפדפן Edge של מיקרוסופט. הפריצה הראשונית לרשת הארגון התבצעה באמצעות ערכת ניצול מוכנה, ומרגע שחדרו לרשת, השתמשו התוקפים בכלים כמו Cobalt Strike ו־Meterpreter כדי להסוות את פעילות איסוף עוגיות הזמניות.

במקרה אחר, השתמשו התוקפים ברכיב לגיטימי בתוכנת Visual Studio של מיקרוסופט כדי להחדיר לרשת הארגון קוד זדוני, שאסף עוגיות זמניות במשך שבוע.

שון גלאגר, (בתמונה משמאל), חוקר איומים ראשי בסופוס: "בשנה האחרונה ראינו עלייה בשימוש בעוגיות זמניות גנובות ע"י תוקפים כדי לעקוף את מנגנוני האימות הרב־גורמי, שהשימוש בהם הופך לנפוץ יותר.

גרסאות חדשות ומשופרות של תוכנות זדוניות לגניבת מידע כמו Raccoon Stealer מקלות על התוקפים בגניבת עוגיות זמניות, שנקראות גם אסימוני גישה ומשמשות לאימות זהות המשתמשים. ברגע שהתוקפים מצליחים להשיג עוגיות זמניות, הם יכולים להתחזות למשתמשים לגיטימיים וכך לקבל גישה חופשית לרשת ומערכות הארגון.

אם בעבר גניבת העוגיות הייתה פעילות ללא מטרה מוגדרת, כיום נוקטים התוקפים בגישה הרבה יותר מדויקת וממוקדת. מכיוון שבימינו נעשית רוב העבודה מהדפדפן ובענן, גניבת עוגיות פותחת בפני התוקפים אינספור אפשרויות זדוניות.

הם יכולים לחבל בתשתית הענן של הארגון, לפרוץ למייל הארגוני, להערים על עובדים בארגון להוריד תוכנות זדוניות ואפילו לבצע שינויים זדוניים בקוד המקור של מוצרים. השמיים הם הגבול והתוקפים מוגבלים רק ע"י היצירתיות שלהם.

ההתמודדות עם האיום הזה היא מורכבת במיוחד מכיוון שאין לו פתרון פשוט. פתרונות אפשריים כוללים קיצור תוקף העוגיות, אבל המחיר כאן הוא שהמשתמשים יידרשו לבצע אימות מחדש לעתים קרובות הרבה יותר, ועל רקע המעבר של התוקפים לשימוש ביישומים לגיטימיים לצורך גניבת העוגיות, נדרשים הארגונים לנקוט בגישה המשלבת בין פתרונות אבטחה מסורתיים לאיתור חדירות לרשת וקוד זדוני לניתוח התנהגות המשתמשים ברשת".