Търсене
Close this search box.

Токените за удостоверяване – съкровище за киберпрестъпниците

Токените за удостоверяване, разбира се, не са истински физически токени. Но когато срокът на валидност на тези цифрови идентификатори не изтича редовно или те не са прикрепени за използване само от определено устройство, за киберпрестъпниците те са на цената на златото.

Токените за автентификация (или „сесийни токени“, както обикновено ги наричат) са важна част от киберсигурността. Те капсулират данни за оторизация за влизане, за да позволят валидиране на приложения и сигурни, автентифицирани влизания в мрежи, приложения за софтуер като услуга (SaaS), изчисления в облак и системи на доставчици на идентичност (IdP) или единно влизане (SSO) за повсеместен достъп до корпоративни системи. Което означава, че всеки, който притежава токен, има златен ключ към корпоративните системи – без да търси  предизвикателството на  многофакторната автентикация (MFA).

Рискове, свързани с удобството на служителите

Срокът на живот на токена често се използва за постигане на компромис между сигурността и удобството на служителите, като позволява на потребителите да се удостоверят веднъж, за да поддържат постоянен достъп до приложения за определен период от време. Заплахите обаче все по-често се сдобиват с тези токени чрез атаки adversary-in-the-middle (AitM), при които атакуващият се намира по средата между потребителя и легитимните приложения, за да открадне удостоверенията или токените, и чрез атаки pass-the-cookie, при които се използват сесийни бисквитки, съхранявани в браузърите.

Личните устройства също имат кешове на браузъри, но не трябва да преминават през строгите изисквания за сигурност на корпоративните системи. Те са по-лесно компрометирани от заплахи, които могат да прихващат токени директно от слабо защитени лични устройства. Въпреки това личните устройства често имат достъп до корпоративни SaaS приложения, което представлява заплаха за корпоративните системи.

След като  заплахата получи токена, тя разполага и с всички права и оторизации, които са предоставени на потребителя. Ако са уловили токена на IdP, те могат да получат достъп до всички възможности за SSO на корпоративните приложения, интегрирани с IdP – без MFA. Ако става въпрос за удостоверение на ниво администратор със съответните привилегии, те могат потенциално да извършат опустошителни действия срещу системите, данните и резервните копия. Колкото по-дълго токенът е активен, толкова повече могат да получат достъп, да откраднат и да нанесат щети. Освен това после те могат да създават нови акаунти, които вече не изискват използването на токена за постоянен достъп до мрежата.

Макар че по-честото изтичане на срока на валидност на токените за сесии няма да спре този вид атаки, то значително ще намали рисковия отпечатък, като съкрати прозореца на възможност за функциониране на токена. За съжаление, често виждаме, че токените не се изчерпват на редовни интервали, а някои доклади за пробиви показват, че срокът на валидност на токените по подразбиране се удължава умишлено.

Атаките с токени в центъра на вниманието

Миналата година в новините се появиха няколко случая на пробив, свързани с прихванати токени за удостоверяване. Два от случаите бяха свързани с компрометирани токени на IdP. Според Okta извършителите са били в техните системи от 28 септември до 17 октомври поради компрометиране на личен акаунт в Gmail. Запазената парола в акаунта в Gmail е била синхронизирана в браузъра Chrome, което е позволило достъп до служебен акаунт, вероятно без прилагане на MFA. След като са влезли в служебния акаунт, хакерите са успели да уловят други токени за сесии на клиенти от HAR файлове, съхранявани в ServiceNow. Нарушението в крайна сметка е засегнало всички потребители на Okta за поддръжка на клиенти.

Забележително е, че на 23 ноември 2023 г. Cloudflare открива заплаха, насочена към нейните системи, използвайки сесийни токени от пробива в Okta. Това показва, че тези сесийни токени не са били изтекли цели 30 до 60 дни след нарушението на Okta – не като рутинен ход на работата и не като реакция на самото нарушение.

През септември 2023 г. Microsoft също влезе в новините, като разкри, че заплахите са получили ключ за подписване на потребителите от срив на Windows. След това са го използвали, за да компрометират акаунти в Exchange и Active Directory, като са използвали неизвестен бъг, който е позволявал на корпоративните системи да приемат токени за сесии, подписани с потребителския ключ за подписване. Това е довело до кражбата на 60 000 имейла на Държавния департамент на САЩ. Възможно е този пробив да не е бил толкова въздействащ, ако токените са били  изтекли (или прикрепени).

Какво трябва да правят компаниите?

Основният урок за организациите е, че токените представляват риск – но има начини да се минимизират тези рискове и да се изпълни по-агресивна програма за управление на токени:

  • Организациите трябва да удължават срока на валидност на токените за удостоверяване поне на всеки седем дни (като минимум) в географските райони, където предприятието има персонал.
  • В регионите без служители токените трябва да изтичат много по-често (на всеки 24 часа или да се блокира изцяло местоположението).
  • Не разрешавайте влизането в приложения SaaS от лични устройства. Вие не контролирате сигурността на тези устройства и това оставя твърде много токени извън корпоративния обхват.
  • Блокирайте достъпа до лична електронна поща от корпоративни устройства.
  • Блокирайте запаметяването на идентификационни данни в браузърите.
  • Блокирайте синхронизирането на запаметените идентификационни данни в Gmail, Google Drive и OneDrive.

По-дългите срокове на валидност на токените осигуряват удобство на потребителите, но на висока цена за сигурността. Токените са активна мишена на заплахите, така че искането от потребителите да се удостоверяват отново всяка седмица е малко неудобство, когато се има предвид много високата обща цена на пробива.

Автор: Джон А. Смит, основател и главен служител по сигурността, Conversant Group

Източник: DARKReading

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
Бъдете социални
Още по темата
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
14/06/2024

Засилени киберзаплахи пред ...

Евро 2024  в Германия започва след...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!