¿Debería preocuparme por los ataques de pasar la cookie que omiten MFA?

Una serie de ataques cibernéticos recientes contra los servicios en la nube de las organizaciones que explotaron las prácticas deficientes de higiene cibernética han puesto a los equipos de seguridad en alerta máxima y han planteado preguntas sobre la idoneidad de la autenticación multifactor (MFA).

A principios de enero, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de EE. UU. Emitió una alerta luego de una serie de ataques, aconsejando a los usuarios que fortalezcan la configuración de su entorno de nube.

La agencia dijo que los ataques probablemente se debían a los altos volúmenes de trabajo remoto y a una combinación de dispositivos corporativos y personales que se utilizan para acceder a los servicios en la nube.

Los actores maliciosos detrás de los ataques están utilizando diferentes tácticas y técnicas, incluido el phishing, los intentos de inicio de sesión por fuerza bruta, pero también los llamados ataques de paso de cookies para derrotar a MFA.

Como funciona esto

En un ataque de este tipo, un ciberdelincuente puede utilizar una cookie de sesión robada (o transitoria) para autenticarse en aplicaciones y servicios web, sin pasar por MFA porque la sesión ya está claramente autenticada.

Estas cookies se utilizan por conveniencia después de que un usuario se ha autenticado en el servicio, de modo que no se pasan las credenciales y no es necesario volver a autenticarse con tanta frecuencia; por lo tanto, a menudo son válidas durante algún tiempo.

Si la obtiene un actor malintencionado, la cookie se puede importar a un navegador que controle, lo que significa que puede usar el sitio o la aplicación como usuario mientras la cookie permanezca activa, lo que potencialmente les da tiempo suficiente para moverse lateralmente. acceder a información confidencial, leer correos electrónicos o realizar acciones como la cuenta de la víctima.

Una amenaza generalizada

Es importante tener en cuenta que los ataques de paso de cookies no son una nueva amenaza como tal. Trevor Luker, jefe de seguridad de la información de Tessian, dijo que son un ataque bastante estándar, ya que la mayoría de los ciberdelincuentes que han obtenido acceso a las cookies de sesión casi con certeza intentarán usarlas como parte de sus intentos de movimiento lateral.

Chris Espinosa, director gerente de Cerberus Sentinel, describió los ataques de paso de cookies como el resultado de una “falla inherente” en el protocolo de transferencia de hipertexto (HTTP) y cómo funcionan las aplicaciones web. “Nos encontramos con esta vulnerabilidad de forma rutinaria durante las pruebas de penetración de aplicaciones web”, dijo.

Roger Grimes, evangelista de defensa basado en datos de KnowBe4, escribió literalmente el libro sobre la piratería de MFA. “Los ataques que eluden o abusan de MFA probablemente ocurren miles de veces al día, y eso no es nada nuevo ni sorprendente. Cualquier solución de MFA se puede piratear al menos de cuatro formas y la mayoría de más de seis ”, dijo.

“MFA siempre ha sido hackeable o evitable, por lo que ya hemos estado viviendo en el mundo de MFA hackeable durante décadas”, agregó Grimes. “Lo que ha cambiado es un mayor uso: más personas que nunca usan una o más formas en su vida diaria”.

El problema, dijo, es que la mayoría de las personas que implementan y usan MFA tienden a pensar en ello como un talismán mágico para evitar que sean pirateados, lo cual es simplemente falso. Esto no quiere decir que no deba usarse, agregó, pero hay una gran diferencia en decir que MFA previene algunos tipos de piratería, o de todo tipo, y todos los que lo usan deben entender qué hace y qué no.

“Pensar que MFA mágicamente te vuelve inhackable es incluso más peligroso que no usar MFA. Desafortunadamente, la mayoría de los implementadores de MFA y ciertamente la mayoría de los usuarios no entienden esto. Por ejemplo, puedo enviarle a cualquier persona un correo electrónico de suplantación de identidad y sortear su solución MFA y, si no lo sabe, es posible que no preste tanta atención a la URL en la que está haciendo clic “.

El consultor principal de F-Secure, Tom Van de Wiele, dijo: “La seguridad cibernética tiene múltiples capas y si algunas capas se malinterpretan, se usan incorrectamente o se descuidan, una sola vulnerabilidad tiene el potencial de causar consecuencias desastrosas. El ejemplo más común es el uso de MFA por parte de las organizaciones para protegerse contra el phishing, donde la mayoría de las soluciones MFA solo son efectivas contra ataques como adivinar contraseñas, forzar la fuerza bruta o relleno de credenciales “.

Riesgo para los usuarios

Eyal Wachsman, cofundador y director ejecutivo de Cymulate, dijo que ahora la pandemia de Covid-19 ha cambiado la naturaleza del perímetro de seguridad empresarial, haciendo que la autenticación y las credenciales de los usuarios para acceder a servicios remotos y basados ​​en la nube sean más importantes, tal vez no sea sorprendente. los ataques están resultando más lucrativos.

Liviu Arsene, investigadora de seguridad cibernética global de Bitdefender, estuvo de acuerdo: “La mayoría de los programas espía que hemos investigado a lo largo de los años han tenido capacidades de robo de cookies o sesiones. A la luz de la reciente transición de la fuerza laboral al trabajo remoto, tiene sentido que los ciberdelincuentes adopten cada vez más esta táctica cuando comprometen los dispositivos de los empleados, ya que puede ayudarlos a obtener acceso a las infraestructuras corporativas con relativa facilidad “.

“Los ataques de pasar las cookies requieren una violación exitosa de la estación de trabajo del usuario final, y si se trata de un dispositivo personal o de los activos de una organización se ha convertido en un dolor de cabeza para asegurar para los CISOs”, dijo Wachsman.

“Tienen el desafío de hacer cumplir los parches en estas estaciones de trabajo y los sistemas de detección se ven sorprendidos con una visibilidad parcial que los deja extremadamente vulnerables. A la mezcla se suman ataques de spear phishing bien diseñados que introducen malware o roban credenciales a través de la ingeniería social “.

Por lo tanto, desafortunadamente, debido a la naturaleza generalizada de los ataques de cookies que rompen MFA, el riesgo para los usuarios es sustancial. “El secuestro de cookies y sesiones debería ser muy preocupante, especialmente para empresas con sistemas de inicio de sesión único [SSO] para identificar a los usuarios autenticados ”, dijo Arsene en Bitdefender. “Un atacante podría acceder potencialmente a varias aplicaciones web asociadas en la empresa utilizando las sesiones o cookies robadas de los empleados”.

El director de seguridad de productos de OneSpan, Frederik Mennes, estuvo de acuerdo en que los riesgos son notables. “Si un ataque de pasar la cookie se realiza con éxito, el impacto puede ser significativo: un adversario puede acceder a los recursos de una empresa siempre que la cookie sea válida, lo que podría ser un período de varios minutos hasta varias horas en una situación típica .

“Por otro lado, la probabilidad del ataque es relativamente baja, ya que otros ataques son más fáciles y el ataque requiere acceso a cookies en el dispositivo del usuario”.

Cómo mitigar los ataques de pasar la cookie

Afortunadamente, mitigar el riesgo de ser víctima de un ataque de pasar la cookie, o lidiar con el impacto de uno, no debería ser demasiado difícil para que los equipos de seguridad entiendan.

“Sabiendo que las aplicaciones y las arquitecturas de TI constan de muchas partes móviles y son subjetivas a los cambios constantes, las pruebas periódicas para este tipo de escenarios como parte de las revisiones y evaluaciones de seguridad basadas en aplicaciones y arquitectura son cruciales para garantizar que estos escenarios no se desarrollen ahora o en el futuro ”, dijo Van de Wiele en F-Secure.

Espinosa de Cerberus Sentinel dijo: “La forma de mitigar la vulnerabilidad de pasar la cookie de MFA es con una mejor administración de cookies y una mejor capacitación de los usuarios.

“Específicamente, las cookies deben configurarse con una vida útil corta y deben ser para una sola sesión, por lo que cuando se cierra el navegador, la cookie se anula. Los usuarios deben estar capacitados para cerrar la sesión de la aplicación web y cerrar su navegador una vez que hayan terminado de usar la aplicación web. Muchos usuarios nunca cierran la sesión ni cierran un navegador; esto aumenta el riesgo.

“La conclusión es que no hay una forma única de solucionar el problema de pasar la cookie, a menos que obligue a un usuario a volver a autenticarse con más frecuencia para diferentes funciones de aplicaciones web. Sin embargo, esto disminuye la experiencia del usuario ”, dijo.

Luker de Tessian agregó: “Hay muchas mitigaciones fáciles disponibles, lo que significa que estos ataques no son tan exitosos como solían ser hace un par de años.

“Tales mitigaciones incluyen solo permitir el acceso a la infraestructura de nube corporativa desde direcciones IP conocidas, idealmente a través de una VPN corporativa [virtual private network] punto final con MFA fuerte independiente en su lugar. También es importante recordar que las cookies de sesión tienden a tener un tiempo limitado, por lo que solo son útiles durante un período breve “.

Una cuestión de cultura

Al igual que con muchos otros riesgos de seguridad, la mitigación eficaz también depende en gran medida de contar con culturas de seguridad interna adecuadas, como señala el oficial de protección de datos global de OneLogin, Niamh Muldoon.

“La cultura de seguridad y el mantenimiento de la conciencia de seguridad con toda su organización es fundamental no solo para identificar y responder a las amenazas de seguridad, sino también para seguir los procesos de seguridad”, dijo.

“Los procesos de control de acceso de aprovisionamiento y desaprovisionamiento son excelentes ejemplos que necesitan un enfoque y atención conscientes para garantizar que solo aquellos que tienen un requisito comercial de acceso tengan acceso y su acceso sea aprobado, revisado y monitoreado de acuerdo con los principios de control de acceso de autenticación, autorización y principios de garantía “.

Wachsman agregó: “Para evitar estos ataques, las empresas deben aumentar la conciencia de seguridad ante los intentos de phishing, los empleados deben cerrar la sesión de los servicios en la nube cuando no los estén usando y los servicios deben configurarse para cerrar automáticamente las sesiones que están inactivas, incluso por períodos cortos de tiempo. hora. Ser consciente de su postura de seguridad es fundamental para descubrir y corregir las debilidades que encuentran “.