image

"Aanvallers stelen steeds vaker cookies om multifactorauthenticatie te omzeilen"

dinsdag 23 augustus 2022, 14:24 door Redactie, 26 reacties

Aanvallers stelen steeds vaker cookies om multifactorauthenticatie te omzeilen, wat aantoont hoe belangrijk het is om cookies geregeld te verwijderen en de browser te sluiten, zo stelt antivirusbedrijf Sophos. Zodra een gebruiker zich bij een website authenticeert ontvangt die een session cookie. Door dit cookie te stelen kan een aanvaller zich bij de betreffende website als de gebruiker authenticeren en zo toegang tot diens account krijgen.

Er zijn allerlei malware-exemplaren in omloop die zich op het stelen van session cookies richten. Eerder dit jaar stelde securitybedrijf NCC Group dat de groep aanvallers die zichzelf Lapsus$ noemt en wist in te breken bij Microsoft, Nvidia, Okta en Samsung vooral gebruikmaakt van gestolen authenticatiecookies om toegang tot accounts en systemen te krijgen. Dergelijke cookies zouden ook op internet te koop worden aangeboden.

De impact van gestolen cookies zou een stuk kleiner zijn als niet zoveel applicaties cookies gebruiken die zeer lang geldig zijn. Zeker wanneer een applicatie op het systeem actief blijft en niet wordt gesloten. Het geregeld verwijderen van cookies en sluiten van de browser kan dan ook helpen, aldus Sophos. Het verkorten van de levensduur van cookies houdt echter ook in dat gebruikers zich vaker opnieuw moeten authenticeren.

Reacties (26)
23-08-2022, 14:42 door Anoniem
Een methode: in privacy-mode de browser gebruiken. Sluit je af, dan worden alle cookies verwijderd.
23-08-2022, 14:53 door Anoniem
Lijkt mij andermaal dus dat multifactor authenticatie door de overheid schijn veiligheid wekt.
Arjen Kamphuis en anderen hebben al vaak uit de doeken gedaan dat ook bij multifactor authenticatie gewoon sprake blijft van single point of failure, namelijk het moment dat ingevoerde getallen aan client side met die van server side wordt vergeleken op correcte invoer.
23-08-2022, 15:10 door Anoniem
Door Anoniem: Lijkt mij andermaal dus dat multifactor authenticatie door de overheid schijn veiligheid wekt.
Arjen Kamphuis en anderen hebben al vaak uit de doeken gedaan dat ook bij multifactor authenticatie gewoon sprake blijft van single point of failure, namelijk het moment dat ingevoerde getallen aan client side met die van server side wordt vergeleken op correcte invoer.

Het probleem dat hier geschetst wordt gaat over cookies. Dat cookie is dus na 2fa gezet. Het probleem is niet zozeer mfa, als wel dat mensen vervolgens aanvinken: "vertrouw dit apparaat/blijf ingelogd". Mfa is de veiligste methode, mits je elke keer als je klaar bent, ook weer uitlogt. Dat is dus niet een SPF van mfa, maar van cookies.

Mfa vereist helemaal niet dat "ingevoerde getallen aan client side met die van server side wordt vergeleken op correcte invoer".
23-08-2022, 15:40 door Erik van Straten
Klinkt als: "dankzij MFA dacht je veilig te zijn, maar als je niet onze virusscanner gebruikt zal malware jouw session cookies stelen en heeft MFA geen meerwaarde".

Los van dat er juist vanalles mis is met MFA (zoals ik gisteren beschreef in https://security.nl/posting/765284): als criminelen session-cookies kunnen stelen, dan komt dat meestal door:
1) http i.p.v. https (is toch opgelost?)
2) bug(s) in webbrowser
3) client device of account gecompromitteerd

In dat laatste geval heeft de betrokkene sowieso een groot probleem, want dan kan er veel meer gestolen worden dan alleen session cookies. Bovendien zal een regelmatige cookie-opruiming zelden helpen (malware kan sowieso wachten tot je weer inlogt). En nee, Sophos heeft niet een oplossing die alle malware in alle gevallen blokkeert.

In het tweede geval gaat het om een fundamenteel probleem, namelijk dat browsers vertrouwelijke informatie lekken naar websites van derden. Nb. voordat iemand zoiets voorstelt: met het wijzigen van cookies (bijv. client IP-adres erin opnemen en digitaal ondertekenen), symptoombestrijding dus, los je dit fundamentele probleem niet op.
23-08-2022, 15:52 door Briolet - Bijgewerkt: 23-08-2022, 15:53
Door Anoniem: Lijkt mij andermaal dus dat multifactor authenticatie door de overheid schijn veiligheid wekt.…

Het probleem is niet MFA, maar het niet uitloggen door gebruikers. Veel mensen loggen niet uit, maar sluiten alleen het browservenster. Ze blijven dan ingelogd en de sessie cookie is dan de sleutel om weer op je ingelogde pagina's te komen als je de url weer intikt op een nieuw venster. Door die sessie cookie te stelen, kunnen criminelen dan een account benaderen dat nog niet uitgelogd is.

Mensen moet aangeleerd worden om altijd uit te loggen en website bowers moet aangeleerd worden om de uitlog optie niet te verstoppen. (Bij sommige sites kost het me moeite om de optie om uit te loggen te vinden)
23-08-2022, 16:09 door Anoniem
Door Briolet:
Door Anoniem: Lijkt mij andermaal dus dat multifactor authenticatie door de overheid schijn veiligheid wekt.…

Het probleem is niet MFA, maar het niet uitloggen door gebruikers. Veel mensen loggen niet uit, maar sluiten alleen het browservenster. Ze blijven dan ingelogd en de sessie cookie is dan de sleutel om weer op je ingelogde pagina's te komen als je de url weer intikt op een nieuw venster. Door die sessie cookie te stelen, kunnen criminelen dan een account benaderen dat nog niet uitgelogd is.

Mensen moet aangeleerd worden om altijd uit te loggen en website bowers moet aangeleerd worden om de uitlog optie niet te verstoppen. (Bij sommige sites kost het me moeite om de optie om uit te loggen te vinden)
Maar websites kunnen gebruikers ook na zoveel uur uitloggen. Het ligt dus aan de server side dat er zich een single point of faillure zich kan voordoen.
23-08-2022, 16:16 door Anoniem
Door Erik van Straten: Klinkt als: "dankzij MFA dacht je veilig te zijn, maar als je niet onze virusscanner gebruikt zal malware jouw session cookies stelen en heeft MFA geen meerwaarde".

Los van dat er juist vanalles mis is met MFA (zoals ik gisteren beschreef in https://security.nl/posting/765284): als criminelen session-cookies kunnen stelen, dan komt dat meestal door:
1) http i.p.v. https (is toch opgelost?)
2) bug(s) in webbrowser
3) client device of account gecompromitteerd

In dat laatste geval heeft de betrokkene sowieso een groot probleem, want dan kan er veel meer gestolen worden dan alleen session cookies. Bovendien zal een regelmatige cookie-opruiming zelden helpen (malware kan sowieso wachten tot je weer inlogt). En nee, Sophos heeft niet een oplossing die alle malware in alle gevallen blokkeert.

In het tweede geval gaat het om een fundamenteel probleem, namelijk dat browsers vertrouwelijke informatie lekken naar websites van derden. Nb. voordat iemand zoiets voorstelt: met het wijzigen van cookies (bijv. client IP-adres erin opnemen en digitaal ondertekenen), symptoombestrijding dus, los je dit fundamentele probleem niet op.
Goede punten.
23-08-2022, 16:40 door Anoniem
Leuk was de tijd van de analoge samenleving
en hoe is het nu,is iedereen blij en tevreden :-)

The Matrix
23-08-2022, 17:24 door Anoniem
Ik wist altijd de cookies
23-08-2022, 21:32 door Anoniem
met de huidige rekenkracht van computers en snelheid van netwerken zijn multifactorauthenticatie hacks fait accomplis. Het is heel triest dat multifactor authenticatie per sms bij het begin van digid nog wordt onderkend bij tussentijdse evaluaties als uiterst riskant en kwetsbaar en dat sindsdien mfa als een soort pleister op de security wonden misplaatst wordt ingezet.
24-08-2022, 00:22 door Anoniem
Door Anoniem: met de huidige rekenkracht van computers en snelheid van netwerken zijn multifactorauthenticatie hacks fait accomplis. Het is heel triest dat multifactor authenticatie per sms bij het begin van digid nog wordt onderkend bij tussentijdse evaluaties als uiterst riskant en kwetsbaar en dat sindsdien mfa als een soort pleister op de security wonden misplaatst wordt ingezet.

Wat een ontzettend raar verhaal .

Kun je mij eens uitleggen wat ik moet doen met een cluster vol GPUs en een 10G netwerk om op een site die MFA gebruikt in te loggen ?

Hoe precies gebruik ik die rekenkracht en netwerk snelheid ?

En waarom zijn bekende zwakheden van SMS als transport mechanisme opeens zwakheden van het hele MFA concept ?
24-08-2022, 06:36 door Anoniem
Door Anoniem: Leuk was de tijd van de analoge samenleving
en hoe is het nu,is iedereen blij en tevreden :-)

The Matrix

Alsof alles in de analoge samenleving perfect was. Houd toch eens op man.

Wat doe je eigenlijk hier? Niet erg analoog.
24-08-2022, 08:59 door Anoniem
Door Anoniem: Leuk was de tijd van de analoge samenleving en hoe is het nu,is iedereen blij en tevreden :-)

Heb je jouw reaktie op dit artikel via de post opgestuurt? Toch wel makkelijk die digitale samenleving. :-)
24-08-2022, 09:23 door Anoniem
Door Anoniem: Ik wist altijd de cookies
Ah, je weet de cookies uit je hoofd. Typ je ze dan ook handmatig in elke keer? ;-)
24-08-2022, 10:35 door Anoniem
Door Anoniem:
Door Anoniem: met de huidige rekenkracht van computers en snelheid van netwerken zijn multifactorauthenticatie hacks fait accomplis. Het is heel triest dat multifactor authenticatie per sms bij het begin van digid nog wordt onderkend bij tussentijdse evaluaties als uiterst riskant en kwetsbaar en dat sindsdien mfa als een soort pleister op de security wonden misplaatst wordt ingezet.

Wat een ontzettend raar verhaal .

Kun je mij eens uitleggen wat ik moet doen met een cluster vol GPUs en een 10G netwerk om op een site die MFA gebruikt in te loggen ?

Hoe precies gebruik ik die rekenkracht en netwerk snelheid ?

En waarom zijn bekende zwakheden van SMS als transport mechanisme opeens zwakheden van het hele MFA concept ?

Het is geen raar verhaal, duik maar in eerder gepubliceerde problemen over bijvoorbeeld sms, digid en andere diensten die bij mfa betrokken zijn. Willekeurig voorbeeld van zwakheid sms - https://www.security.nl/posting/623114/Sms-aanval+kan+instellingen+Androidtelefoons+wijzigen
En bijvoorbeeld "The Problems With SMS, Summarized

Let’s quickly summarize the problems with SMS, and compare it to a secure, end-to-end encrypted chat app like Signal.

With SMS:

Your cellular carrier can see the contents of the messages you’re sending and receiving. Any collected records could be subpoenaed in legal proceedings.
SMS messages can be intercepted by hackers due to weaknesses in the rickety old protocol that powers them. This puts financial and other accounts at risk.
Authorities can deploy stingrays to snoop on the contents of text messages in an area.
Scammers can try to steal your cell phone number by tricking your cellular provider’s customer service staff."

Wat betreft toegenomen snelheid, dat is meer rekenkracht en dus meer pogingen in een minuut, buffer overflows en wat al niet meer zei.
24-08-2022, 10:37 door Anoniem
Voor wie wil snappen waarom sms geen beveiliging toevoegt, neem een kijkje tussen deze berichten en je vindt meerdere aanwijzingen ervoor:
https://www.security.nl/search?keywords=sms&c%5B%5D=1&c%5B%5D=3
24-08-2022, 13:13 door eMilt
Door Briolet:
Door Anoniem: Lijkt mij andermaal dus dat multifactor authenticatie door de overheid schijn veiligheid wekt.…

Het probleem is niet MFA, maar het niet uitloggen door gebruikers. Veel mensen loggen niet uit, maar sluiten alleen het browservenster. Ze blijven dan ingelogd en de sessie cookie is dan de sleutel om weer op je ingelogde pagina's te komen als je de url weer intikt op een nieuw venster. Door die sessie cookie te stelen, kunnen criminelen dan een account benaderen dat nog niet uitgelogd is.
Maar die sessie cookie kan ook al gestolen en misbruikt worden 1 seconden nadat je bent ingelogd. Het uitloggen van een gebruiker is niet zo relevant.

Probleem in mijn ogen is volgens mij dat de sessie cookie niet specifiek voor het device / browser van de gebruiker is. De sessie cookie is te makkelijk te kopiëren naar een andere device.

Je zou de sessie cookie afhankelijk kunnen maken van het IP adres van de gebruiker maar dat zorgt er weer voor dat roaming gebruikers weer iedere keer opnieuw moeten authenticeren. Je zou ook bepaalde eigenschappen van de browser en/of device erin mee kunnen nemen maar dat vereist al gauw javascript om die gegevens op te halen en dat kan ook onwenselijk zijn. En is waarschijnlijk ook te makkelijk om na te bootsen als je bekend bent met welke eigenschappen gebruikt worden.
24-08-2022, 14:59 door Anoniem
Afspraken over actie drempels maken het uit en die zijn zelden in het voordeel van de eindgebruiker, ergo het product. Laten we daar met z'n allen eens goed over nadenken. no als er yes zou moeten staan.
#observator
24-08-2022, 16:04 door Briolet
Door eMilt: …Probleem in mijn ogen is volgens mij dat de sessie cookie niet specifiek voor het device / browser van de gebruiker is. De sessie cookie is te makkelijk te kopiëren naar een andere device.

Je zou de sessie cookie afhankelijk kunnen maken van het IP adres van de gebruiker maar dat zorgt er weer voor dat roaming gebruikers weer iedere keer opnieuw moeten authenticeren. Je zou ook bepaalde eigenschappen van de browser en/of device erin mee kunnen nemen maar dat vereist al gauw javascript om die gegevens op te halen en dat kan ook onwenselijk zijn. En is waarschijnlijk ook te makkelijk om na te bootsen als je bekend bent met welke eigenschappen gebruikt worden.

Aan de serverkant kun je natuurlijk ook het device identificeren en aan de sessie koppelen.

Ziggo is sinds een paar week bezig om MFA dwingend te introduceren bij al haar klanten. Ik moest er deze week ook voor het eerst gebruik van maken. De gebruikte browser karakteristiek wordt een paar dagen onthouden zodat je bij een volgende inlog geen MFA nodig hebt. Mijn nas doet hetzelfde. Ook Apple en Google waarschuwen als je voor het eerst vanaf een ander device inlogt.
Diezelfde techniek kunnen servers natuurlijk gebruiken tegen gestolen cookies. Dus nooit een sessie voortzetten op een veranderd device.
24-08-2022, 21:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: met de huidige rekenkracht van computers en snelheid van netwerken zijn multifactorauthenticatie hacks fait accomplis. Het is heel triest dat multifactor authenticatie per sms bij het begin van digid nog wordt onderkend bij tussentijdse evaluaties als uiterst riskant en kwetsbaar en dat sindsdien mfa als een soort pleister op de security wonden misplaatst wordt ingezet.

Wat een ontzettend raar verhaal .

Kun je mij eens uitleggen wat ik moet doen met een cluster vol GPUs en een 10G netwerk om op een site die MFA gebruikt in te loggen ?

Hoe precies gebruik ik die rekenkracht en netwerk snelheid ?

En waarom zijn bekende zwakheden van SMS als transport mechanisme opeens zwakheden van het hele MFA concept ?

Het is geen raar verhaal, duik maar in eerder gepubliceerde problemen over bijvoorbeeld sms, digid en andere diensten die bij mfa betrokken zijn. Willekeurig voorbeeld van zwakheid sms - https://www.security.nl/posting/623114/Sms-aanval+kan+instellingen+Androidtelefoons+wijzigen
En bijvoorbeeld "The Problems With SMS, Summarized


Begrijpend lezen is ook een vak .
SMS heeft z'n beperkingen - en dat erken ik ook mijn reactie . Maar degene op wie ik reageerde extrapoleerde "SMS probleem" naar "algemeen MFA probleem" .


[knip over SMS beperkingen]

Wat betreft toegenomen snelheid, dat is meer rekenkracht en dus meer pogingen in een minuut, buffer overflows en wat al niet meer zei.

En dat is bolle onzin . Buffer overflows hebben helemaal NIETS van doen met rekenkracht of netwerk snelheid.
Evenmin zijn externe aanvallers - ik vroeg niet voor niks voor een recept om op een site in te loggen - erg beperkt door hun CPU of netwerk snelheid . Dat voegt amper iets toe - er zijn zoveel andere bottlenecks onderweg , en niet in het minst de capaciteit van het aangevallen systeem.

Als je werkelijk aanvallen op de buitenkant op één hoop gooit met het dictionary attacken van gehackte hash files heb je nog een jaar of vijf security training te gaan voordat je op junior niveau zit .
25-08-2022, 14:45 door Anoniem
Andermaal een voorbeeld
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: met de huidige rekenkracht van computers en snelheid van netwerken zijn multifactorauthenticatie hacks fait accomplis. Het is heel triest dat multifactor authenticatie per sms bij het begin van digid nog wordt onderkend bij tussentijdse evaluaties als uiterst riskant en kwetsbaar en dat sindsdien mfa als een soort pleister op de security wonden misplaatst wordt ingezet.

Wat een ontzettend raar verhaal .

Kun je mij eens uitleggen wat ik moet doen met een cluster vol GPUs en een 10G netwerk om op een site die MFA gebruikt in te loggen ?

Hoe precies gebruik ik die rekenkracht en netwerk snelheid ?

En waarom zijn bekende zwakheden van SMS als transport mechanisme opeens zwakheden van het hele MFA concept ?

Het is geen raar verhaal, duik maar in eerder gepubliceerde problemen over bijvoorbeeld sms, digid en andere diensten die bij mfa betrokken zijn. Willekeurig voorbeeld van zwakheid sms - https://www.security.nl/posting/623114/Sms-aanval+kan+instellingen+Androidtelefoons+wijzigen
En bijvoorbeeld "The Problems With SMS, Summarized


Begrijpend lezen is ook een vak .
SMS heeft z'n beperkingen - en dat erken ik ook mijn reactie . Maar degene op wie ik reageerde extrapoleerde "SMS probleem" naar "algemeen MFA probleem" .


[knip over SMS beperkingen]

Wat betreft toegenomen snelheid, dat is meer rekenkracht en dus meer pogingen in een minuut, buffer overflows en wat al niet meer zei.

En dat is bolle onzin . Buffer overflows hebben helemaal NIETS van doen met rekenkracht of netwerk snelheid.
Evenmin zijn externe aanvallers - ik vroeg niet voor niks voor een recept om op een site in te loggen - erg beperkt door hun CPU of netwerk snelheid . Dat voegt amper iets toe - er zijn zoveel andere bottlenecks onderweg , en niet in het minst de capaciteit van het aangevallen systeem.

Als je werkelijk aanvallen op de buitenkant op één hoop gooit met het dictionary attacken van gehackte hash files heb je nog een jaar of vijf security training te gaan voordat je op junior niveau zit .
Aanvallen lopen vaak via meerdere kwetsbaarheden en dus ingangen tegelijk. Hoe meer rekenkracht des te meer ingangen tegelijk (zowel afzonderlijk als verspreid over meerdere apparaten tegen enkele apparaten) benut kunnen worden ingezet, met meer rekenkracht per apparaat merkt het gehackte apparaat er zelf minder van maar het einddoel van de aanval des te meer.
25-08-2022, 14:46 door Anoniem
https://blog.group-ib.com/0ktapus - andermaal een voorbeeld van gestolen mfa gegevens.
25-08-2022, 18:05 door Anoniem
Door Anoniem: Andermaal een voorbeeld
[..]

Dat is helemaal geen voorbeeld waarvoor enorme rekenkracht nodig is.
En nog veel minder een voorbeeld waarom "MFA authenticatie hacks fait accomplis" zijn wat die nitwit beweerde.


Aanvallen lopen vaak via meerdere kwetsbaarheden en dus ingangen tegelijk. Hoe meer rekenkracht des te meer ingangen tegelijk (zowel afzonderlijk als verspreid over meerdere apparaten tegen enkele apparaten) benut kunnen worden ingezet, met meer rekenkracht per apparaat merkt het gehackte apparaat er zelf minder van maar het einddoel van de aanval des te meer.

Om succesvol te *hacken* is het helemaal geen voordeel als het doel van de aanval dat enorm merkt .

Probeer het nog eens, zonder een DDoS met een hack te verwarren.
26-08-2022, 13:32 door Anoniem
Door Anoniem: https://blog.group-ib.com/0ktapus - andermaal een voorbeeld van gestolen mfa gegevens.
Er zijn hier ongelofelijke trollen aanwezig of slechte lezers of beide.
De volgende passage eimpliceert duidelijk dat snelheid/rekenkracht en sms en mfa geen goed huwelijk is.
However, to gain access before the 2FA codes expire, the attackers need to use the compromised data as soon as they get it. Most likely, this means that attackers were continuously monitoring their tools and using the credentials as soon as they received them.
Continue monitoring vereist enige rekenkracht en snelheid wil de monitoring niet vastlopen. Het "need to use the compromised data as soon as they get it" wijst ook op snelheid van verwerking van gegevens.
Tot zover dus de kwetsbaarheid cq nut van mfa in snelle computer- en netwerk-omgevingen.
26-08-2022, 14:02 door Anoniem
Ook een voorbeeld van mfa bij microsoft hacks:
https://www.theregister.com/2022/08/25/microsoft_365_bec/
26-08-2022, 16:24 door Anoniem
sms en maf hacks, een van de vele hoofdstukken:

https://thehackernews.com/2022/01/researchers-bypass-sms-based-multi.html

Microsoft Warns Against Using SMS-Based Two-Factor Authentication On Your Phone
https://www.forbes.com/sites/zakdoffman/2020/11/17/microsoft-warning-about-sms-security-codes-sent-to-apple-iphone-and-google-android-phones/

Microsoft tells users to ditch SMS multi-factor authentication - https://www.verdict.co.uk/multi-factor-authentication-microsoft/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.