Connect with us

Technologie

Devrais-je m’inquiéter des attaques de passage-le-cookie de contournement de l’AMF ?

Published

on


Une série de cyberattaques récentes contre les services cloud des organisations qui exploitaient les mauvaises pratiques d’hygiène cybernétique ont placé les équipes de sécurité en état d’alerte et soulevé des questions sur l’adéquation de l’authentification multifacturaire (AMF).

Plus tôt en janvier, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a émis une alerte à la suite d’une série d’attaques, conseillant aux utilisateurs de renforcer leur configuration d’environnement cloud.

L’agence a déclaré que les attaques étaient susceptibles de se produire en raison de volumes élevés de travail à distance et un mélange d’entreprises et d’appareils personnels utilisés pour accéder aux services cloud.

Les acteurs malveillants derrière les attaques utilisent diverses tactiques et techniques différentes, y compris le phishing, les tentatives de connexion de force brute, mais aussi ce qu’on appelle les attaques de passage pour vaincre l’AMF.

Comment cela fonctionne

Dans une telle attaque, un cybercriminels peut utiliser un cookie de session volé (ou transitoire) pour authentifier vers des applications et des services Web, en contournant l’AMF parce que la session est clairement déjà authentifiée.

Ces cookies sont utilisés pour plus de commodité après qu’un utilisateur s’est authentifié au service, de sorte que les informations d’identification ne sont pas transmises et qu’ils n’ont pas besoin de se réauthétiquer si souvent – d’où ils sont souvent valides pendant un certain temps.

S’il est obtenu par un acteur malveillant, le cookie peut ensuite être importé dans un navigateur qu’il contrôle, ce qui signifie qu’il peut utiliser le site ou l’application comme utilisateur aussi longtemps que le cookie reste actif, ce qui peut lui donner suffisamment de temps pour se déplacer latéralement, accéder à des informations sensibles, lire des e-mails ou effectuer des actions en tant que compte victime.

Une menace généralisée

Il est important de noter que les attaques au passage ne sont pas une nouvelle menace en tant que telle. Trevor Luker, chef de la sécurité de l’information de Tessian, a déclaré qu’il s’agit d’une attaque assez standard, dans la mesure où la plupart des cybercriminels qui ont eu accès à des cookies de session vont presque certainement essayer de les utiliser dans le cadre de leurs tentatives de mouvement latéral.

Chris Espinosa, directeur général de Cerberus Sentinel, a décrit les attaques au passage comme le résultat d’une « faille inhérente » dans le protocole de transfert d’hypertexte (HTTP) et le fonctionnement des applications Web. « Nous courons dans cette vulnérabilité régulièrement lors de tests de pénétration d’applications Web, at-il dit.

Roger Grimes, évangéliste de la défense axé sur les données KnowBe4, a littéralement écrit le livre sur le piratage de l’AMF. « Les attaques qui contournent ou abusent de l’AMF se produisent probablement des milliers de fois par jour, et ce n’est pas nouveau ou surprenant. Toute solution d’AMF peut être piratée d’au moins quatre façons, et la plupart de plus de six façons », a-t-il dit.

« L’AMF a toujours été hackable ou contournable, alors nous vivons déjà dans le monde de l’AMF hackable depuis des décennies », a ajouté M. Grimes. « Ce qui a changé, c’est l’utilisation accrue – plus de gens que jamais en utilisent une ou plusieurs dans leur vie quotidienne. »

Le problème, a-t-il dit, c’est que la plupart des gens qui déploient et utilisent l’AMF sont enclins à penser que c’est comme un talisman magique pour les empêcher d’être piratés, ce qui est tout simplement faux. Ce n’est pas à dis-le ne devrait pas être utilisé, at-il ajouté, mais il ya une grande différence en disant MFA empêche certains types de piratage, ou toutes sortes, et tous ceux qui l’utilisent devraient comprendre ce qu’il fait et ne s’arrête pas.

« Penser que l’AMF vous rend magiquement inhackable est encore plus dangereux que de ne pas utiliser l’AMF. Malheureusement, la plupart des implémenteurs de l’AMF et certainement la plupart des utilisateurs ne comprennent pas cela. Par exemple, je peux envoyer à n’importe qui un e-mail d’hameçonnage et contourner sa solution MFA et si vous ne le savez pas, vous pourriez ne pas accorder autant d’attention à l’URL sur laquelle vous cliquez.

Tom Van de Wiele, consultant principal de F-Secure, a déclaré : « La cybersécurité est multicillée et si certaines couches sont mal comprises, mal utilisées ou négligées, une seule vulnérabilité peut avoir des conséquences désastreuses. L’exemple le plus courant est l’utilisation de l’AMF par les organisations pour se protéger contre le phishing, où la plupart des solutions MFA ne sont efficaces que contre des attaques telles que la devinence par mot de passe, le forçage brutal ou la farce d’informations d’identification.

Risque pour les utilisateurs

Eyal Wachsman, co-fondateur et PDG de Cymulate, a déclaré que maintenant la pandémie Covid-19 a changé la nature du périmètre de sécurité de l’entreprise, rendant l’authentification des utilisateurs et les informations d’identification pour accéder aux services distants et basés sur le cloud plus important, il n’est peut-être pas surprenant que ces attaques se révèlent plus lucratives.

Liviu Arsene, chercheur mondial en cybersécurité chez Bitdefender, est du même avis : « La plupart des logiciels espions que nous avons étudiés au fil des ans ont eu des capacités de cookie ou de vol de session. À la lumière de la récente transition de la main-d’œuvre vers le travail à distance, il est logique que les cybercriminels adoptent de plus en plus cette tactique lorsqu’ilsg les appareils des employés, car ils peuvent les aider à accéder aux infrastructures de l’entreprise avec une relative facilité.

« Les attaques au passage des cookies nécessitent une violation réussie du poste de travail de l’utilisateur final, et qu’il s’agisse d’un appareil personnel ou des actifs d’une organisation, elles sont devenues un casse-tête à sécuriser pour les DSI », a déclaré M. Wachsman.

« Ils sont mis au défi d’appliquer le patching sur ces postes de travail et les systèmes de détection sont aveuglés par une visibilité partielle les laissant extrêmement vulnérables. À la combinaison s’ajoutent des attaques de spear phishing bien conçues qui introduisent des logiciels malveillants ou volent des informations d’identification grâce à l’ingénierie sociale.

Donc, malheureusement, en raison de la nature répandue des attaques de cookies mfa-busting, le risque pour les utilisateurs est en effet un important. « Le détournement de cookies et de sessions devrait être très préoccupant, en particulier pour les entreprises ayant des systèmes de [SSO] pour identifier les utilisateurs authentifiés », a déclaré Arsène à Bitdefender. « Un attaquant peut accéder à plusieurs applications Web associées à l’ensemble de l’entreprise à l’aide des cookies ou des sessions volés des employés. »

Frederik Mennes, directeur de la sécurité des produits OneSpan, a reconnu que les risques étaient notables. « Si une attaque de passage du cookie est effectuée avec succès, l’impact peut être important : un adversaire peut accéder aux ressources d’une entreprise tant que le cookie est valide, ce qui peut être une période de plusieurs minutes jusqu’à plusieurs heures dans une situation typique.

« D’autre part, la probabilité de l’attaque est relativement faible, car d’autres attaques sont plus faciles, et comme l’attaque nécessite l’accès à des cookies sur l’appareil de l’utilisateur. »

Comment atténuer les attaques de passage-le-cookie

Heureusement, atténuer le risque d’être victime d’une attaque au passage ou de faire face à l’impact d’une attaque ne devrait pas être trop difficile pour les équipes de sécurité de se déplacer.

« Sachant que les applications et les architectures informatiques se composent d’un grand nombre de pièces mobiles et sont subjectives à des changements constants, des tests réguliers pour ce genre de scénarios dans le cadre d’applications et d’architecture basée sur les examens de sécurité et les évaluations sont cruciales pour s’assurer que ces scénarios ne peuvent pas se jouer maintenant ou à l’avenir », a déclaré Van de Wiele à F-Secure.

Espinosa de Cerberus Sentinel a déclaré : « Le moyen d’atténuer la vulnérabilité au passage des cookies de l’AMF est d’améliorer la gestion des cookies et une meilleure formation des utilisateurs.

« Plus précisément, les cookies doivent être définis avec une courte durée de vie et devraient être pour une seule session, de sorte que lorsque le navigateur est fermé, le cookie est annulé. Les utilisateurs doivent être formés pour déconnecter l’application Web et fermer leur navigateur une fois qu’ils ont terminé l’utilisation de l’application Web. De nombreux utilisateurs ne se connectent jamais ou ne ferment jamais un navigateur – cela augmente le risque.

« En fin de compte, il n’existe aucun moyen unique de résoudre le problème de passage du cookie, à moins que vous ne forciez un utilisateur à réathétiques plus fréquemment pour différentes fonctionnalités d’application Web. Cela diminue l’expérience utilisateur cependant », at-il dit.

Luker de Tessian a ajouté : « Il y a beaucoup d’atténuations faciles disponibles, ce qui signifie que ces attaques ne sont pas aussi réussies qu’elles l’étaient il y a quelques années.

« Ces mesures d’atténuation ne comprennent que l’accès à l’infrastructure cloud d’entreprise à partir d’adresses IP connues, idéalement via un VPN d’entreprise [virtual private network] point de terminaison avec une AMF forte distincte en place. Il est également important de se rappeler que les cookies de session ont tendance à être limités dans le temps, de sorte qu’ils ne sont utiles que pour une courte période.

Une question de culture

Comme pour de nombreux autres risques pour la sécurité, l’atténuation efficace dépend aussi dans une large mesure de la place de cultures appropriées en matière de sécurité intérieure, comme le souligne Niamh Muldoon, responsable mondial de la protection des données chez OneLogin.

« La culture de la sécurité et le maintien de la conscience de la sécurité avec l’ensemble de votre organisation sont essentiels non seulement pour identifier et répondre aux menaces à la sécurité, mais aussi pour suivre les processus de sécurité », a-t-elle déclaré.

« Les processus de contrôle de l’accès à l’approvisionnement et au déapprovisionnement sont d’excellents exemples qui ont besoin d’une attention et d’une attention conscientes pour s’assurer que seuls ceux qui ont une exigence commerciale d’accès y ont accès et que leur accès est approuvé, revu et surveillé selon les principes de contrôle d’accès des principes d’authentification, d’autorisation et d’assurance. »

Wachsman a ajouté: « Pour prévenir ces attaques, les entreprises doivent accroître la sensibilisation à la sécurité aux tentatives d’hameçonnage, les employés doivent se déconnecter des services cloud lorsqu’ils ne les utilisent pas et les services doivent être réglés pour tuer automatiquement les sessions qui sont inactives, même pour de courtes périodes de temps. Il est essentiel de prendre conscience de votre posture de sécurité pour découvrir et corriger les faiblesses qu’ils trouvent.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance