ALLERTA PERICOLI INFORMATICI Articoli in Evidenza

I COOKIE POSSONO RUBARE LE CREDENZIALI DI ACCESSO : COME PROTEGGERSI

I COOKIE POSSONO RUBARE LE CREDENZIALI DI ACCESSO : COME PROTEGGERSI
Scritto da gestore

I pericoli non finiscono mai. Ora anche i cookie possono rappresentare un problema. Si è scoperto che i cookie legati all’identità e all’autenticazione offrono agli aggressori un nuovo percorso per la loro compromissione. Vediamo cosa accade e come proteggersi.

Cosa sono i cookie ? Quando visitate un qualsiasi sito web, questo crea e memorizza sul vostro computer un cookie, un piccolo file con dati sul vostro sistema e sulle azioni che vengono compiute sul sito. I cookie possono essere creati e utilizzati sia dai siti che visitate sia da terze parti, come gli inserzionisti.

Gli aggressori ora si rivolgono sempre più al furto dei “cookie” associati alle credenziali, per clonare sessioni Web attive o recenti, aggirando l’autenticazione a più fattori nel processo e prendere possesso dei vostri account.

L’ultima versione della botnet Emotet è solo una delle tante famiglie di malware che prendono di mira i cookie e altre credenziali memorizzate dai browser, come gli accessi memorizzati e (in alcuni casi) i dati delle carte di pagamento. Il browser Chrome di Google utilizza lo stesso metodo di crittografia per memorizzare sia i cookie di autenticazione a più fattori che i dati delle carte di credito, entrambi obiettivi di Emotet.

Le mani nel barattolo di biscotti

I browser memorizzano i cookie in un file; per Mozilla Firefox, Google Chrome e Microsoft Edge, il file è un database SQLite nella cartella del profilo utente. (File SQLite simili memorizzano la cronologia del browser, gli accessi al sito Web e le informazioni di riempimento automatico su questi browser). Altre applicazioni che si connettono a servizi remoti hanno i propri repository di cookie, o in alcuni casi accedono a quelli dei browser web.

Il contenuto di ciascun cookie nel database è un elenco di parametri e valori, un archivio chiave-valore che identifica la sessione del browser sul sito Web remoto, incluso in alcuni casi un token passato dal sito al browser dopo l’autenticazione dell’utente. Una di queste coppie chiave-valore specifica la scadenza del cookie, per quanto tempo è valido prima che debba essere rinnovato.

Il motivo del furto dei cookie è semplice: i cookie associati all’autenticazione ai servizi Web possono essere utilizzati da aggressori in attacchi “passa il cookie”, tentando di mascherarsi come l’utente legittimo a cui è stato originariamente rilasciato il cookie e ottenere l’accesso ai servizi Web senza un sfida di accesso. 

Molte applicazioni basate sul Web eseguono controlli aggiuntivi per prevenire lo spoofing della sessione, ad esempio il controllo dell’indirizzo IP della richiesta rispetto al punto in cui è stata avviata la sessione. Ma se i cookie vengono utilizzati da un aggressore pratico della tastiera all’interno della stessa rete, questo tipo di misure potrebbe non essere sufficiente per fermare lo sfruttamento. E le applicazioni create per una combinazione di uso desktop e mobile potrebbero non utilizzare la geolocalizzazione in modo coerente.

Alcuni attacchi di furto di cookie possono essere scaturiti completamente in remoto dall’interno del browser del target. Gli attacchi di iniezione HTML possono utilizzare il codice inserito in una pagina Web vulnerabile per sfruttare i cookie per altri servizi, consentendo l’accesso alle informazioni del profilo del target su tali servizi e consentendo la modifica di password ed e-mail.

Intermezzo promozionale ... continua la lettura dopo il box:

Tenere sotto controllo i biscotti

Il furto di cookie non sarebbe una minaccia se i cookie di accesso di lunga durata non fossero utilizzati da così tante applicazioni. Slack, ad esempio, utilizza una combinazione di cookie persistenti e specifici della sessione per verificare l’identità e l’autenticazione degli utenti. Sebbene i cookie di sessione vengano cancellati alla chiusura di un browser, alcune di queste applicazioni (come Slack) rimangono aperte a tempo indeterminato in alcuni ambienti. Questi cookie potrebbero non scadere abbastanza velocemente da impedire a qualcuno di sfruttarli in caso di furto. I token di accesso singolo associati ad alcune autenticazioni a più fattori possono rappresentare la stessa potenziale minaccia se gli utenti non chiudono le sessioni.

COME PROTEGGERSI ALLORA …

Cancellare regolarmente i cookie e altre informazioni di autenticazione per i browser riduce la potenziale superficie di attacco fornita dai file di profilo del browser e le organizzazioni possono utilizzare strumenti amministrativi per alcune piattaforme basate sul Web per ridurre il periodo di tempo consentito per la validità dei cookie.

TROVATE UNA GUIDA SU COME BLOCCARE ED ELIMINARE I COOKIES [ click qui ]

Ma il rafforzamento delle politiche sui cookie comporta dei compromessi. Accorciare la vita dei cookie significa una maggiore riautenticazione da parte degli utenti. E alcune applicazioni basate sul Web che sfruttano i client basati su Electron o piattaforme di sviluppo simili potrebbero avere i propri problemi di gestione dei cookie; ad esempio, potrebbero avere i propri archivi di cookie che possono essere specificamente presi di mira da aggressori al di fuori del contesto degli archivi di browser web.

Sophos utilizza diverse regole comportamentali per prevenire l’abuso dei cookie da parte di script e programmi non attendibili e rileva il malware che ruba informazioni con una serie di rilevamenti di memoria e comportamento.

Gli indicatori di compromissione per gli attacchi citati in questo report sono disponibili nella pagina Github di SophosLabs.

Fonte ed approfondimenti qui : https://news.sophos.com/