Zum Inhalt springen Zur Navigation springen
Pass-the-Cookie-Angriff: Wie sicher ist Multi-Faktor-Authentifizierung?

Pass-the-Cookie-Angriff: Wie sicher ist Multi-Faktor-Authentifizierung?

Artikel von Dr. Datenschutz·13. Oktober 2023

Die Multi-Faktor-Authentifizierung (MFA) ist Teil jeder Maßnahmenempfehlung, wenn es um das Thema IT-Sicherheit geht. Doch es gibt Wege, MFA zu umgehen. Wir zeigen diese auf und empfehlen Gegenmaßnahmen. 

Warum ist Multi-Faktor-Authentifizierung so wichtig?

Sensible Daten lediglich mit Benutzernamen und Passwort zu sichern, birgt eine Vielzahl von Risiken. Auf der einen Seite ist dieses Verfahren anfällig für Angriffe wie Brute-Force-Attacken, auf der anderen Seite kann ein Datenleck zur Veröffentlichung von Passwörtern führen. Die Absicherung von Konten durch mehrere Faktoren erhöht die Sicherheit. Die Faktoren können in drei Kategorien aufgeteilt werden: 

  • Etwas, was der Nutzer weiß 
  • Etwas, was der Nutzer besitzt 
  • Etwas, was dem Nutzer gehört 

Welche Arten von MFA gibt es?

In den täglichen Geschäftsprozessen sollte man den Zugriff auf die verwendeten, sensiblen Dienste zu jeder Zeit streng reglementieren. Nach der Eingabe von Benutzernamen und Passwort erfolgt mindestens eine weitere Abfrage bspw. eines Codes, welcher per E-Mail oder an ein mobiles Gerät gesendet wird. Lösungen für diese Multi-Faktorabfragen können sowohl Hardware als auch Software gebunden sein. Etablierte Verfahren sind zum Beispiel: 

  • Authenticator-App 
  • SMS 
  • E-Mail 
  • Anruf 
  • Hardwaretoken 

Im Besonderen bei Cloud-Lösungen oder Webservice-Anwendungen wird MFA immer häufiger eingesetzt. Die größeren Anbieter wie Amazon und Google, haben die Zwei-Faktor-Authentifizierung mittlerweile verpflichtend eingeführt. In den meisten Fällen, wird hier ein TOTP (Time-based One-Time Password) verwendet, um Angreifern das Abgreifen eines Passworts zu erschweren. Abhängig von der Art des zweiten oder weiteren Faktors, ist auch die Sicherung desselbigen von Bedeutung. Beispielsweise besteht bei Hardware-basierten Faktoren die Gefahr des Diebstahls. 

Was sind Session-Cookies?

Nach einer erfolgreichen Anmeldung in einer Weboberfläche, wird mit Hilfe von Sitzungs- oder Authentifizierungs-Cookies die Session eines Nutzers gespeichert. Auf diese Weise wird im Cache des Browsers die Information hinterlegt, dass es sich um einen legitimen Nutzer handelt und dieser sich beim Laden einer neuen Seite nicht erneut verifizieren muss. Das Prinzip ähnelt dem Kerberos– oder NTLM-Verfahren. Abhängig von den Einstellungen des genutzten Browsers werden Cookies unterschiedlich lang gespeichert. So wird beim privaten Modus eines Webbrowsers lediglich eine temporäre Datenbank hinterlegt, in der die Cookies gespeichert werden, bis der Browser wieder geschlossen wird. Auf diese Weise sind z.B. Suchverläufe für Dritte nicht über diesen Zeitraum hinaus nachverfolgbar. 

Der Ablauf eines Pass-the-Cookie Angriffs

Internet-Browser speichern Cookies als Dateien (SQLite Datenbank) im jeweiligen Benutzer-Ordner. Diese Informationen werden jedoch unter Umständen über längere Zeiträume gespeichert bzw. nicht gelöscht, solange der Benutzer sich nicht abmeldet. 

Erster Schritt beim Cookie-Klau

Für einen Pass-the-Cookie-Angriff müssen Angreifer zunächst die Session-Cookies eines Nutzers abgreifen. Während Unternehmen ihre Datenbanken, Backups und andere sensiblen Inhalte in immer mehr Fällen in die Cloud umziehen, erreichen Angreifer die sogenannten Kronjuwelen nicht mehr nur einfach durch das Infiltrieren eines Unternehmensnetzwerks. In vielen Fällen ist dies jedoch der erste Schritt, um danach Mitarbeiter ausfindig zu machen, welche über administrative Rechte in der Cloud-Infrastruktur verfügen. Häufig genutzte Methoden sind u.a. Cross-Site-Scripting (XSS), Man-in-the-Middle, Phishing oder MFA-Fatigue.

Man-in-the-Middle-Angriff

In Verbindung mit Phishing-Angriffen, nutzen Angreifer sogenannte Man-in-the-Middle-Angriffe, um die Session-Cookies von Nutzern abzugreifen. Mit der zunehmenden Verbreitung vom MFA hat sich auch der Fokus von Ransomware-as-a-Service Anbietern auf den Diebstahl von Cookies ausgerichtet. Open-source Programme wie „Evilginx2“ haben ebenfalls den Prozess, aus einer erfolgreichen Phishing-Attacke heraus, Cookies abzugreifen erleichtert. 

MFA-Fatigue-Angriff

Bei einem MFA-Fatigue-Angriff bombardieren Angreifer, Nutzer mit einer Flut von Multi-Faktor-Anfragen. Theoretisch sollte dieser Spam von Anfragen dazu führen, dass Nutzer sich bei der IT-Abteilung melden, doch die Praxis zeigt leider, dass in einigen Fällen dem psychischen Druck nachgegeben und der Anfrage zugestimmt wird. 

Außerdem ist zu beobachten, dass mit zunehmender Verwendung von MFA sich auch die Angebote von Session-Cookies im Darknet häufen. 

Sobald die Angreifer im Besitz eines solchen Cookies sind, können sie auf einem anderen Server im Browser ihrer Wahl die gestohlenen Informationen einfügen. Dies funktioniert also auch, wenn der betroffene Nutzer den Browser nicht geöffnet hat. Der Browser erkennt den im Cookie enthaltenen Authentifizierungstoken und somit ist der Login erfolgreich. Besonders in Umgebungen mit SSO kann ein Zugriff wie dieser, verheerende Folgen für ein Unternehmen haben.

Welche Gegenmaßnahmen sind sinnvoll?

Die teils hohe Langlebigkeit von Cookies ist sowohl für Benutzer als auch Angreifer von Vorteil. Auf der einen Seite erfolgen  seltener Autorisierungsabfragen, welche den Arbeitsfluss legitimer Nutzer hindern würden, auf der anderen Seite ermöglicht diese Langlebigkeit auch das Übertragen und Wiederverwenden eines Session-Cookies. Hier müssen die Verantwortlichen eines jeden Unternehmens selbst entscheiden, welches Verhältnis von Komfort gegenüber Sicherheit gewählt wird. Best Practice an dieser Stelle ist manuelles Ausloggen durch den Benutzer oder ein zeitbasierter, automatischer Logout durch die jeweilige Web-Anwendung. 

Als weitere Maßnahme bietet eine Filterung von IP-Adressen erhöhte Sicherheit. Doch auch bei diesem Verfahren wird der Komfort bzw. die Flexibilität der Mitarbeiter eingeschränkt, für die mobiles Arbeiten notwendig ist. Zudem empfiehlt sich die Zugriffsprotokollierung von Benutzern zu überwachen, um bei Unregelmäßigkeiten zeitnah reagieren zu können. 

Auf die gleiche Weise, wie MFA keinen 100%-igen Schutz von Konten bieten kann, gibt es keine einfache Lösung zwischen den beiden Faktoren von Sicherheit zu Komfort der Benutzer. Wie in den meisten Bereichen der IT-Sicherheit muss hier das Risiko abgewogen werden und die entsprechenden Vorbereitungen getroffen werden. 

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.