Home » News » Cybersecurity » Cookie-Klau wird zum Problem für die Sicherheit von Unternehmensdaten

Cookie-Klau wird zum Problem für die Sicherheit von Unternehmensdaten

Sophos beschreibt im neuen X-Ops Report „Cookie stealing: the new perimeter bypass“, dass Cyberkriminelle zunehmend gestohlene Session-Cookies nutzen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten.

2 Min. Lesezeit
©AdobeStock/Jimmy

Sicherheitsforscher beobachten einen beunruhigenden Trend: Cyberkriminelle nutzen immer öfter gestohlene Cookies, um Multi-Faktor-Authentifizierungen zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. Mit gestohlenen Cookies können sich Angreifer als rechtmäßige Benutzer ausgeben und frei im Unternehmens-Netzwerk bewegen.

Sophos beschreibt im neuen X-Ops Report „Cookie stealing: the new perimeter bypass“, dass Cyberkriminelle zunehmend gestohlene Session-Cookies nutzen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. In einigen Fällen ist der Cookie-Diebstahl eine gezielte Attacke, bei der Cookie-Daten von kompromittierten Systemen ausgelesen werden. Dabei nutzen die Kriminellen legitime ausführbare Dateien, um ihre Aktivitäten zu verschleiern.

Sobald sie mithilfe der Cookies einen Zugang zu web- oder cloudbasierten oder Unternehmens-Ressourcen haben, können sie diese für weitere Angriffe nutzen. Dazu gehören beispielsweise die Kompromittierung von E-Mails oder Social Engineering, um zusätzliche Systemzugänge zu ergaunern oder sogar für die Änderung von Daten oder Quellcode-Repositories zu sorgen.

„Im vergangenen Jahr haben wir beobachtet, dass Cyberkriminelle vermehrt auf Cookie-Diebstahl zurückgreifen, um die zunehmende Verbreitung von MFA zu umgehen. Sie nutzen neue und verbesserte Malware – etwa Raccoon Stealer – um den Diebstahl von Authentifizierungs-Cookies, auch bekannt als Access Tokens, zu vereinfachen“, so Sean Gallagher, Principal Threat Researcher bei Sophos. „Wenn Angreifende im Besitz von Session-Cookies sind, können sie sich frei in einem Netzwerk bewegen.

Der Cookie-Diebstahl wird immer strategischer

Bei zwei der jüngsten Vorfälle, die Sophos untersuchte, verfolgten die Angreifenden einen sehr gezielten Ansatz. In einem Fall verbrachten sie Monate im Netzwerk des Zielunternehmens und sammelten Cookies des Microsoft Edge Browsers. Die erste Kompromittierung erfolgte über ein Exploit-Kit. Anschließend nutzten sie eine Kombination aus Cobalt-Strike- und Meterpreter-Aktivitäten, um über ein legitimes Compiler-Tool die Zugriffstoken abzugreifen. In einem anderen Fall nutzten die Angreifenden eine legitime Microsoft-Visual-Studio-Komponente, um eine bösartige Malware abzusetzen, die eine Woche lang Cookie-Dateien abfing.

„Während wir in der Vergangenheit massenhaften Cookie-Diebstahl beobachten konnten, gehen Cyberkriminelle jetzt gezielt und präzise vor, um Cookies zu stehlen. Da ein großer Teil des Arbeitsplatzes inzwischen webbasiert ist, gibt es keine Grenzen für die bösartigen Aktivitäten, die Angreifer mit gestohlenen Sitzungscookies durchführen können. Sie können Cloud-Infrastrukturen manipulieren, geschäftliche E-Mails kompromittieren, andere Mitarbeitende zum Herunterladen von Malware überreden oder sogar Code für Produkte umschreiben. Die einzige Grenze ist ihre eigene Kreativität“, so Gallagher. „Erschwerend kommt hinzu, dass es keine einfache Lösung gibt. Zwar können Dienste beispielsweise die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass sich die Benutzer häufiger neu authentifizieren müssen. Da Angreifer legitime Anwendungen nutzen, um Cookies abzugreifen, müssen Unternehmen die Erkennung von Malware mit einer Verhaltensanalyse kombinieren.“

Den vollständigen Report „Cookie Stealing: the new perimeter bypass“ gibt es hier.

Andere interessante News

Wie Cyberkriminelle ChatGPT für sich nutzen

Allgemein zugängliche KI-Tools (Künstliche Intelligenz) wirkten bislang oft noch eher unbeholfen. Mit dem OpenAI ChatGPT Chatbot scheint sich das gerade zu ändern. Die Qualität der damit erzeugten Texte erstaunt die gesamte Internet-Community. Das weckt auch bei Cyberkriminellen Begehrlichkeiten. Die Kombi aus freier Zugänglichkeit solcher Tools und krimineller Energie stellt die Cybersicherheit vor völlig neue Herausforderungen.

Statement: Warum Netzwerkresilienz heute ein absolutes Muss ist

Ein modernes, resilientes Netzwerk ist das Herzstück der IT. Ohne die entsprechenden Systeme und Lösungen gebe es keine intelligenten Fertigungsanlagen, keine hybriden Arbeitsumgebungen und keine virtuellen Welten. Dennoch steht Netzwerkresilienz bei den Prioritäten von Unternehmen viel zu weit unten. So sieht es jedenfalls Dirk Schuma, Sales Manager Europe bei Opengear. Er erklärt, warum dieser Zustand heute untragbar ist, und was Unternehmen für die Verbesserung der Netzwerkresilienz tun können.

Kommentar: Was die neue NIS-2-Richtlinie für Unternehmen bedeutet

Im nächsten Jahr soll die zweite Version der Richtlinie zum Schutz von Netzwerk- und Informationssystemen (NIS) scharf gestellt werden, die Unternehmen verstärkt in die Pflicht nimmt. Sie wurde Ende 2022 im Amtsblatt L333 der Europäischen Union veröffentlicht und ist bereits in Kraft.