Os cookies do navegador permitem que os aplicativos da Web armazenem informações de autenticação do usuário, para que um usuário possa permanecer conectado em vez de fornecer seu nome de usuário e senha sempre que navegar para uma nova página em um site.
Se o MFA estiver ativado, o usuário deverá fornecer prova adicional de sua identidade, como aceitar uma notificação por PUSH em seu dispositivo móvel. Depois que o usuário passa pela MFA, um cookie do navegador é criado e armazenado para sua sessão da web .
Embora os cookies simplifiquem a experiência do usuário, eles carregam uma vulnerabilidade óbvia: se um invasor conseguir extrair os cookies corretos do navegador, ele poderá se autenticar como se fosse o usuário em uma sessão totalmente separada do navegador da Web em outro sistema, ou seja, o invasor pode usar um cookie comprometido para ignorar a autenticação via MFA.
Esse tipo de ataque geralmente é possÃvel quando um servidor da web não sinaliza cookies de sessão como seguros. Se os usuários não enviarem cookies de volta ao servidor por HTTPS , os invasores podem roubar o cookie e sequestrar a sessão, ignorando o MFA.
Outra forma de extrair os cookies de um usuário é utilizar o Mimikatz. O Mimikatz tornou-se a ferramenta padrão para extrair senhas e hashes da memória, realizar ataques pass-the-hash e criar persistência de domÃnio.
Por exemplo, num computador com sistema operacional Windows e utilizando o Google Chrome, os cookies são armazenados no seguinte local:
%localappdata%GoogleChromeUser DataDefaultCookies
Os cookies de um determinado usuário são criptografados usando chaves vinculadas a esse usuário por meio da API de proteção de dados da Microsoft (DPAPI). Para acessar o banco de dados de cookies e descriptografar os cookies , um invasor poderia utilizar os seguintes comandos do Mimikatz:
dpapi::chrome /in:"%localappdata%GoogleChromeUser DataDefaultCookies" /unprotect
OU
mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%googlechromeUSERDA~ 1defaultcookies /unprotect" exit
Ele obteria como resultado os cookies do browser
A maneira mais fácil de mitigar a vulnerabilidade MFA pass-the-cookie é com melhor gerenciamento de cookies e melhor treinamento do usuário.
Especificamente, os cookies devem ser definidos com uma vida útil curta e devem ser para uma única sessão, portanto, quando o navegador é fechado, o cookie é anulado. Os usuários devem ser treinados para fazer logoff do aplicativo da web e fechar o navegador após terminarem de usar o aplicativo da web . Muitos usuários nunca fazem logoff ou fecham um navegador, e isso aumenta o risco.
Na prática, não há uma maneira única de corrigir a vulnerabilidade pass-the-cookie , a menos que se force o usuário a se autenticar com mais frequência para diferentes funcionalidades de aplicativos da web. Isso, infelizmente, tem um impacto significativo na experiência do usuário.
Atualmente, muitas organizações já implementam soluções mitigadoras, o que significa que esses ataques não são tão bem-sucedidos quanto costumavam ser alguns anos atrás. Essas mitigações incluem apenas permitir o acesso à infraestrutura de nuvem corporativa a partir de endereços IP conhecidos, idealmente por meio de um endpoint corporativo de VPN (rede privada virtual) com MFA forte separado. Além disso, os cookies de sessão fornecidos tendem a ser limitados no tempo, portanto, são úteis apenas por um curto perÃodo.
Textos: João Alberto Muniz Gaspar
Produção: Secretaria de Segurança da Informação e Cibernética
Commentaires