Cookies de sessão: tentativa irresistível para os cibercriminosos

Pesquisadores da equipe de solução SASE da Check Point Software alertam que os cookies podem deixar aplicações SaaS de uma organização pública a roubo de dados críticos e transações indevidas e não autorizadas; só em 2022, há 22 bilhões de registros de cookies roubados

Os cookies são uma das tecnologias da web mais importantes, mesmo sendo quase tão antigos quanto o próprio navegador web. Às vezes, eles têm uma maior confiança, mas não se podem negar que os cookies tornam a vida digital mais fácil. Eles armazenam informações que nos permitem permanecer conectados a um site e desfrutar de uma experiência produtiva, em vez de fazer login repetidamente e refazer as mesmas ações.

No entanto, os investigadores da  Check Point Software alertam que os cookies também representam uma oportunidade para os aventureiros, que podem roubá-los para realizar uma série de atividades ilícitas. Para as aplicações SaaS de uma organização, isso pode levar ao roubo ou uso indevido de dados confidenciais, transações não autorizadas, entre outros ataques e ameaças cibernéticas.

Neste caso, os pesquisadores estão falando de cookies de sessão. Aqueles cookies de sessão de curta duração – como os gerados por sites bancários – não são particularmente úteis para os aventureiros. Entretanto, são os cookies com duração mais longa (ou persistentes) que os interessam, pois são usados ​​em sessões “ativas” que podem persistir por muitas horas ou dias.

É importante observar que os cookies de sessão são usados ​​para autenticar a identidade de um usuário, o que significa que são gerados após autenticação de múltiplos fatores (MFA). Assim, quando o atacante consegue “passar o cookie” – ou usá-lo para uma nova sessão da web – ele pode se passar por um usuário legítimo.

Ameaça contínua

Os cookies de sessão podem ser roubados de várias maneiras, como exploração de redes Wi-Fi não seguras, ataques de script entre sites, phishing, cavalos de Tróia e outros malwares e ataques Man-in-the-Middle.

Para um exemplo do mundo real, vamos considerar o malware Racoon Stealer, que é apenas uma das muitas famílias de malwares projetados para roubar cookies. O grupo de hackers Lapsus＄, descobriu o Racoon Stealer para obter acesso não autorizado aos sistemas da empresa de jogos eletrônicos Electronic Arts usando um cookie de sessão roubada. Eles realizaram uma conta clone de uma propriedade existente da EA e  acabaram fugindo com centenas de GB de dados , incluindo o código-fonte do jogo.

Na verdade, o roubo de cookies é bastante comum, com uma estimativa de  22 bilhões de registros de cookies roubados em 2022 .

Outro alerta importante que os pesquisadores da Check Point Software ressaltam diz respeito ao Zero Trust e não apenas em como os cookies de sessão do SaaS são roubados. Portanto, eles detalham a seguir sobre como mitigar essa ameaça de roubo de cookies de sessão.

Defesa das aplicações SaaS

Atualmente, as aplicações SaaS são essenciais para fazer negócios, com as organizações que utilizam  em média 130 aplicações SaaS . Os cookies de sessão para uma aplicação SaaS dariam ao ataque acesso às mesmas informações e permissões do usuário legítimo. Isso poderia incluir transações de vendas e arquivos internos.

No caso de uma sessão de e-mail na web sequestrada, o atacante poderia acessar todos os e-mails do usuário, enviar e-mails que levem outras ações específicas que beneficiam o atacante, e muito mais. Para mitigar isto, a defesa contra os perigos de cookies de sessão roubada começa por uma  solução de proteção SASE .

Uma proteção SASE fornecerá a visibilidade e o controle necessários para mitigar os riscos de segurança do SaaS, atribuindo um endereço IP único e estático para a organização, e apenas o tráfego proveniente do seu endereço terá permissão de acesso às suas aplicações SaaS. Todo o resto é negado por padrão. Mesmo que um tenha obtido cookies de sessão ativa que, novamente, contornam o mecanismo MFA, o tráfego simplesmente seria bloqueado pelo servidor SaaS.

A fácil disponibilidade do SaaS significa acesso conveniente para as equipes das organizações, onde quer que estejam localizadas, mas também dá aos atacantes ampla oportunidade para explorar brechas de segurança. Com 55% dos executivos de segurança relatando  um recente incidente de segurança do SaaS , é claro que os ataques não estão atrapalhando.

Além de um endereço IP único, uma proteção SASE também permite alinhar o acesso e as permissões dos usuários com suas funções e responsabilidades. Isso mantém todos “na sua linha” e impede o acesso não autorizado a aplicações e dados.

A Check Point Software conta com o  Check Point Harmony SASE que fornece visibilidade em tempo real e relatórios simples dos usuários e dispositivos que se conectam às aplicações SaaS. Se uma organização observar suspeitos de atividade não autorizada, um usuário e todos os seus dispositivos podem ser desconectados com um simples clique via o Harmony SASE. Isso também é útil quando um funcionário sai da empresa, já que o acesso a todas as aplicações SaaS pode ser desligado instantaneamente.

FONTE: MINUTO SEGURANÇA