top of page

MFA: Ataques pass-the-cookie.

Atualizado: há 13 horas

Os cookies do navegador permitem que os aplicativos da Web armazenem informações de autenticação do usuário, para que um usuário possa permanecer conectado em vez de fornecer seu nome de usuário e senha sempre que navegar para uma nova página em um site.

Se o MFA estiver ativado, o usuário deverá fornecer prova adicional de sua identidade, como aceitar uma notificação por PUSH em seu dispositivo móvel. Depois que o usuário passa pela MFA, um cookie do navegador é criado e armazenado para sua sessão da web .

Embora os cookies simplifiquem a experiência do usuário, eles carregam uma vulnerabilidade óbvia: se um invasor conseguir extrair os cookies corretos do navegador, ele poderá se autenticar como se fosse o usuário em uma sessão totalmente separada do navegador da Web em outro sistema, ou seja, o invasor pode usar um cookie comprometido para ignorar a autenticação via MFA.

Esse tipo de ataque geralmente é possível quando um servidor da web não sinaliza cookies de sessão como seguros. Se os usuários não enviarem cookies de volta ao servidor por HTTPS , os invasores podem roubar o cookie e sequestrar a sessão, ignorando o MFA.

Outra forma de extrair os cookies de um usuário é utilizar o Mimikatz. O Mimikatz tornou-se a ferramenta padrão para extrair senhas e hashes da memória, realizar ataques pass-the-hash e criar persistência de domínio.

Por exemplo, num computador com sistema operacional Windows e utilizando o Google Chrome, os cookies são armazenados no seguinte local:


%localappdata%GoogleChromeUser DataDefaultCookies


Os cookies de um determinado usuário são criptografados usando chaves vinculadas a esse usuário por meio da API de proteção de dados da Microsoft (DPAPI). Para acessar o banco de dados de cookies e descriptografar os cookies , um invasor poderia utilizar os seguintes comandos do Mimikatz:


dpapi::chrome /in:"%localappdata%GoogleChromeUser DataDefaultCookies" /unprotect


OU


mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%googlechromeUSERDA~ 1defaultcookies /unprotect" exit


Ele obteria como resultado os cookies do browser


A maneira mais fácil de mitigar a vulnerabilidade MFA pass-the-cookie é com melhor gerenciamento de cookies e melhor treinamento do usuário.

Especificamente, os cookies devem ser definidos com uma vida útil curta e devem ser para uma única sessão, portanto, quando o navegador é fechado, o cookie é anulado. Os usuários devem ser treinados para fazer logoff do aplicativo da web e fechar o navegador após terminarem de usar o aplicativo da web . Muitos usuários nunca fazem logoff ou fecham um navegador, e isso aumenta o risco.

Na prática, não há uma maneira única de corrigir a vulnerabilidade pass-the-cookie , a menos que se force o usuário a se autenticar com mais frequência para diferentes funcionalidades de aplicativos da web. Isso, infelizmente, tem um impacto significativo na experiência do usuário.

Atualmente, muitas organizações já implementam soluções mitigadoras, o que significa que esses ataques não são tão bem-sucedidos quanto costumavam ser alguns anos atrás. Essas mitigações incluem apenas permitir o acesso à infraestrutura de nuvem corporativa a partir de endereços IP conhecidos, idealmente por meio de um endpoint corporativo de VPN (rede privada virtual) com MFA forte separado. Além disso, os cookies de sessão fornecidos tendem a ser limitados no tempo, portanto, são úteis apenas por um curto período.


Textos: João Alberto Muniz Gaspar

Produção: Secretaria de Segurança da Informação e Cibernética

2 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page