Търсене
Close this search box.

Токените за удостоверяване, разбира се, не са истински физически токени. Но когато срокът на валидност на тези цифрови идентификатори не изтича редовно или те не са прикрепени за използване само от определено устройство, за киберпрестъпниците те са на цената на златото.

Токените за автентификация (или „сесийни токени“, както обикновено ги наричат) са важна част от киберсигурността. Те капсулират данни за оторизация за влизане, за да позволят валидиране на приложения и сигурни, автентифицирани влизания в мрежи, приложения за софтуер като услуга (SaaS), изчисления в облак и системи на доставчици на идентичност (IdP) или единно влизане (SSO) за повсеместен достъп до корпоративни системи. Което означава, че всеки, който притежава токен, има златен ключ към корпоративните системи – без да търси  предизвикателството на  многофакторната автентикация (MFA).

Рискове, свързани с удобството на служителите

Срокът на живот на токена често се използва за постигане на компромис между сигурността и удобството на служителите, като позволява на потребителите да се удостоверят веднъж, за да поддържат постоянен достъп до приложения за определен период от време. Заплахите обаче все по-често се сдобиват с тези токени чрез атаки adversary-in-the-middle (AitM), при които атакуващият се намира по средата между потребителя и легитимните приложения, за да открадне удостоверенията или токените, и чрез атаки pass-the-cookie, при които се използват сесийни бисквитки, съхранявани в браузърите.

Личните устройства също имат кешове на браузъри, но не трябва да преминават през строгите изисквания за сигурност на корпоративните системи. Те са по-лесно компрометирани от заплахи, които могат да прихващат токени директно от слабо защитени лични устройства. Въпреки това личните устройства често имат достъп до корпоративни SaaS приложения, което представлява заплаха за корпоративните системи.

След като  заплахата получи токена, тя разполага и с всички права и оторизации, които са предоставени на потребителя. Ако са уловили токена на IdP, те могат да получат достъп до всички възможности за SSO на корпоративните приложения, интегрирани с IdP – без MFA. Ако става въпрос за удостоверение на ниво администратор със съответните привилегии, те могат потенциално да извършат опустошителни действия срещу системите, данните и резервните копия. Колкото по-дълго токенът е активен, толкова повече могат да получат достъп, да откраднат и да нанесат щети. Освен това после те могат да създават нови акаунти, които вече не изискват използването на токена за постоянен достъп до мрежата.

Макар че по-честото изтичане на срока на валидност на токените за сесии няма да спре този вид атаки, то значително ще намали рисковия отпечатък, като съкрати прозореца на възможност за функциониране на токена. За съжаление, често виждаме, че токените не се изчерпват на редовни интервали, а някои доклади за пробиви показват, че срокът на валидност на токените по подразбиране се удължава умишлено.

Атаките с токени в центъра на вниманието

Миналата година в новините се появиха няколко случая на пробив, свързани с прихванати токени за удостоверяване. Два от случаите бяха свързани с компрометирани токени на IdP. Според Okta извършителите са били в техните системи от 28 септември до 17 октомври поради компрометиране на личен акаунт в Gmail. Запазената парола в акаунта в Gmail е била синхронизирана в браузъра Chrome, което е позволило достъп до служебен акаунт, вероятно без прилагане на MFA. След като са влезли в служебния акаунт, хакерите са успели да уловят други токени за сесии на клиенти от HAR файлове, съхранявани в ServiceNow. Нарушението в крайна сметка е засегнало всички потребители на Okta за поддръжка на клиенти.

Забележително е, че на 23 ноември 2023 г. Cloudflare открива заплаха, насочена към нейните системи, използвайки сесийни токени от пробива в Okta. Това показва, че тези сесийни токени не са били изтекли цели 30 до 60 дни след нарушението на Okta – не като рутинен ход на работата и не като реакция на самото нарушение.

През септември 2023 г. Microsoft също влезе в новините, като разкри, че заплахите са получили ключ за подписване на потребителите от срив на Windows. След това са го използвали, за да компрометират акаунти в Exchange и Active Directory, като са използвали неизвестен бъг, който е позволявал на корпоративните системи да приемат токени за сесии, подписани с потребителския ключ за подписване. Това е довело до кражбата на 60 000 имейла на Държавния департамент на САЩ. Възможно е този пробив да не е бил толкова въздействащ, ако токените са били  изтекли (или прикрепени).

Какво трябва да правят компаниите?

Основният урок за организациите е, че токените представляват риск – но има начини да се минимизират тези рискове и да се изпълни по-агресивна програма за управление на токени:

  • Организациите трябва да удължават срока на валидност на токените за удостоверяване поне на всеки седем дни (като минимум) в географските райони, където предприятието има персонал.
  • В регионите без служители токените трябва да изтичат много по-често (на всеки 24 часа или да се блокира изцяло местоположението).
  • Не разрешавайте влизането в приложения SaaS от лични устройства. Вие не контролирате сигурността на тези устройства и това оставя твърде много токени извън корпоративния обхват.
  • Блокирайте достъпа до лична електронна поща от корпоративни устройства.
  • Блокирайте запаметяването на идентификационни данни в браузърите.
  • Блокирайте синхронизирането на запаметените идентификационни данни в Gmail, Google Drive и OneDrive.

По-дългите срокове на валидност на токените осигуряват удобство на потребителите, но на висока цена за сигурността. Токените са активна мишена на заплахите, така че искането от потребителите да се удостоверяват отново всяка седмица е малко неудобство, когато се има предвид много високата обща цена на пробива.

Автор: Джон А. Смит, основател и главен служител по сигурността, Conversant Group

Източник: DARKReading

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
26/09/2024

Поредна уязвимост на Ivanti...

Уязвимост, засягаща контролера за доставка на...
21/09/2024

Тor реагира подобаващо на г...

Поддържащите мрежата за анонимност Tor отговориха...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!