Umgehen der MFA mit dem Pass-the-Cookie-Angriff

Wie der Pass the Cookie-Angriff funktioniert

Wenn MFA aktiviert ist, muss der Benutzer einen zusätzlichen Nachweis seiner Identität erbringen, beispielsweise indem er eine Push-Benachrichtigung auf seinem mobilen Gerät akzeptiert. Nachdem der Benutzer die MFA bestanden hat, wird ein Browser-Cookie erstellt und für Ihre Websitzung gespeichert.

Während Cookies die Benutzererfahrung vereinfachen, bergen sie eine offensichtliche Schwachstelle: Wenn es jemandem gelingen würde, die richtigen Browser-Cookies zu extrahieren, könnte er sich als ein anderer Benutzer in einer völlig separaten Browsersitzung auf einem anderen System authentifizieren. Kurz gesagt, sie könnten das Cookie nutzen, um die Authentifizierung über MFA zu umgehen. (Dies ist vergleichbar mit dem Pass the Hash-Angriff in Active Directory.)

Wie ein Angreifer Browser-Cookies extrahieren kann.

Lassen Sie uns anhand des Beispiels des Google Chrome-Browsers untersuchen, wie ein Angreifer Cookies extrahieren könnte. Chrome speichert Cookies an folgendem Ort in einer SQLite-Datenbank:

      %localappdata%GoogleChromeUser DataDefaultCookies

The cookies for a given user are encrypted using keys tied to that user via the Microsoft Data Protection API (DPAPI). To access the cookie database and decrypt the cookies, an adversary can use the following mimikatz command:

dpapi::chrome /in:"%localappdata%GoogleChromeUser DataDefaultCookies" /unprotect

Alternatively, they could execute the following from the command line:

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%googlechromeUSERDA~1defaultcookies /unprotect" exit
      

Die Verwendung einer dieser Optionen stellt die Browser-Cookies bereit:

Szenario des Pass-the-Cookie-Angriffs

Lassen Sie uns durchgehen, wie ein Pass-the-Cookie-Angriff in einem realen Szenario funktionieren würde.

Nehmen wir an, dass der Benutzer Tobias ein IT-Administrator ist. Eine der Webanwendungen, die Tobias regelmäßig verwendet, ist das Microsoft Azure-Verwaltungsportal. Da MFA aktiviert ist, muss Tobias beim Einloggen in Azure einen Code aus der Authenticator-App auf seinem Mobilgerät angeben, wie unten gezeigt.

Also, solange niemand sein iPhone stiehlt, sollten seine Azure-Anmeldeinformationen sicher sein, richtig? Nicht so schnell. Nehmen wir an, Tobias hat auf eine Phishing-E-Mail geklickt oder sein System wurde auf andere Weise kompromittiert, und jetzt kann ein Angreifer Code im Benutzerkontext von Tobias ausführen. Tobias ist KEIN Administrator auf seinem Laptop, also sollte der Schaden begrenzt sein, richtig?

Lassen Sie uns sehen.

Schritt 1. Extrahieren Sie die Cookies.

Wie wir zuvor gesehen haben, müssen wir nur diesen Befehl ausführen, wenn wir als Tobias laufen, um Tobias’ Browser-Cookies zu erhalten:

      mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%googlechromeUSERDA~1defaultcookies /unprotect" exit
      

In diesem Fall kümmern wir uns um die Azure-Authentifizierungscookies, einschließlich ESTSAUTH, ESTSAUTHPERSISTENT und ESTSAUTHLIGHT. Diese Cookies sind verfügbar, weil Tobias in letzter Zeit aktiv auf Azure war:

Schritt 2. Übergeben Sie die Cookies.

Es könnte scheinen, dass wir uns nicht in Webanwendungen wie Azure als Tobias einloggen können, da wir weder seine Benutzer-ID noch sein Passwort kennen und auch keinen Zugriff auf sein Mobilgerät haben.

Aber da wir seine Cookies haben, müssen wir sie nur in eine andere Sitzung übertragen, um Tobias' Konto zu übernehmen. Das ist einfach genug: Wir öffnen einfach Chrome auf einem anderen Server und verwenden die „Untersuchen“-Schnittstelle, um ein Cookie einzufügen.

2.1. Zuerst untersuchen wir die gestohlene Sitzung:

2.2. Als Nächstes navigieren wir zu Application > Cookies. Wie Sie sehen können, enthalten die aktuellen Cookies nicht den ESTSAUTH oder ESTSAUTHPERSISTENT:

2.3. Wir fügen das ESTSAUTH oder das ESTSAUTHPERSISTENT Cookie hinzu. (Wenn ESTSAUTHPERSISTENT verfügbar ist, wird es bevorzugt, da es durch die Option „Angemeldet bleiben“ generiert wird.)

2.4. Wir aktualisieren die Seite und sind nun als Tobias bei Azure angemeldet — keine MFA erforderlich!

Risikominderung

Pass-the-Cookie-Angriffe stellen aus mehreren Gründen eine ernsthafte Bedrohung dar. Erstens erfordert ein Pass-the-Cookie-Angriff keine administrativen Rechte; alle Benutzer haben Zugriff darauf, ihre eigenen Browser-Cookies zu lesen und zu entschlüsseln, unabhängig davon, ob sie privilegierte Rechte an ihren Arbeitsstationen haben. Zweitens muss der Angreifer weder die Benutzer-ID noch das Passwort des kompromittierten Kontos kennen, sodass dieser Angriff mit minimalen Informationen möglich ist. Drittens konnten wir Pass-the-Cookie-Angriffe sogar nach dem Schließen des Browsers erfolgreich durchführen.

Eine Möglichkeit, das Risiko des Cookie-Diebstahls zu minimieren, besteht darin, die Cookies der Benutzer häufiger zu löschen. Dies zwingt die Benutzer jedoch dazu, sich jedes Mal neu zu authentifizieren, wenn sie eine Website aufrufen, was sie frustrieren und dazu führen wird, dass sie es vermeiden, ihren Browser zu schließen, um nicht ihre Cookies zu verlieren.

Eine bessere Strategie ist es, Authentifizierungsüberwachung und Bedrohungserkennungsprodukte zu implementieren. Netwrix Threat Manager kann umgehend Konten erkennen, die auf unerwartete Weise verwendet werden, sodass Sie bösartige Aktivitäten schnell unterbinden können.