Sitzungsübernahme: Wie es funktioniert
Was Sie erwartet
- 1. Wichtige Highlights
- 2. Was ist Sitzungsübernahme?
- 3. Wie funktioniert Sitzungsübernahme von Ende zu Ende?
- 4. Die häufigsten Arten des Session-Hijackings
- 5. Die Anzeichen einer entführten Sitzung
- 6. Folgen von Sitzungsübernahmen
- 7. Praktische Verteidigungen gegen Sitzungsübernahmen
- 8. Verhinderung von Session-Hijacking-Angriffen.
- 9. FAQ
Sitzungsübernahme ist, wenn ein Angreifer eine bestehende, authentifizierte Sitzung übernimmt, indem er Sitzungs-Cookies oder Träger-Token stiehlt oder manipuliert, die den Zugang für denjenigen ermöglichen, der sie besitzt. Dies ermöglicht es dem Angreifer, Sicherheitskontrollen zu umgehen, die nur beim Login angewendet werden, wie z.B. Ratenbegrenzung oder Multi-Faktor-Authentifizierung (MFA).
Wichtige Highlights
- Starke Sitzungsverteidigungen kombinieren TLS überall, gehärtete Cookies, kurze Token-Lebensdauern, Token-Rotation und -Widerruf sowie anomali-basierte Schritt-auf-Authentifizierung. In OAuth-ähnlichen Bereitstellungen können senderbeschränkte Token (zum Beispiel DPoP oder mTLS) die Token-Wiederholung weiter reduzieren, wo dies unterstützt wird.
- Gestohlene Sitzungstoken können MFA umgehen, wenn MFA nur beim ersten Login durchgesetzt wird.
- Häufige Angriffswege sind MitM-Abfang, XSS-Token-Diebstahl, Malware- oder Browserdaten-Diebstahl und Sitzungsfixierung.
- Starke Sitzungsverteidigungen kombinieren TLS überall, gehärtete Cookies, kurze Token-Lebensdauern, Token-Bindung oder -Rotation sowie anomali-basierte Re-Authentifizierung.
- Geräte- und Benutzer-Risikosignale können helfen zu entscheiden, wann die Authentifizierung verstärkt oder eine Sitzung beendet werden soll.
Was ist Sitzungsübernahme?
Bei einem Sitzungsübernahmeangriff (auch bekannt als Sitzungsübernahme oder Token-Wiederholungsangriff) stiehlt der Angreifer das Sitzungstoken (Cookie, Träger-Token usw.), das zur Authentifizierung eines angemeldeten Benutzers verwendet wird. Dies ermöglicht es dem Angreifer, den Benutzer zu impersonieren, während er die Notwendigkeit vermeidet, Anmeldeinformationen zu stehlen und MFA sowie ähnliche Verteidigungen zu überwinden. Häufige Ziele dieser Angriffe sind Verbraucher-Webanwendungen, SaaS-Sitzungen, VPN-Portale, Remote-Zugriffssitzungen und privilegierte Administrationskonsolen.
Wie funktioniert Sitzungsübernahme von Ende zu Ende?
Sitzungsübernahmeangriffe konzentrieren sich darauf, ein Token zu stehlen, um sich als legitimer Benutzer auszugeben. Ein Angriffsablauf könnte wie folgt aussehen:
- Warten Sie darauf oder bringen Sie den Benutzer dazu, eine gültige Sitzung zu erstellen.
- Stehlen Sie ein Sitzungscookie oder Träger-Token über Malware, bösartige Skripte, Browsererweiterungen oder andere Mittel.
- Übernehmen Sie die Sitzung, indem Sie eine Anfrage an den Server mit dem gestohlenen Cookie senden.
- Führen Sie böswillige Aktionen im Benutzerkonto mit dem gestohlenen Token aus, bevor es abläuft oder widerrufen wird.
Session-Hijacking-Angriffe basieren auf dem Zugriff auf das Token, das an verschiedenen Orten gefunden werden kann, einschließlich des Browser-Speichers, Cookies, Autorisierungs-Header, App-Speicher und Gerätespeicher. Angreifer benötigen möglicherweise auch Möglichkeiten, um zu vermeiden, dass eine erneute Authentifizierung oder Risikoprüfungen ausgelöst werden, wie z. B. das Abgleichen von Geräte-Fingerabdrücken, IP-Reputation oder normalen Verhaltensmustern.
Die häufigsten Arten des Session-Hijackings
Session-Hijacking kann auf verschiedene Arten durchgeführt werden. Einige bekannte Methoden sind:
- Session-Fixierung: Bei einem Session-Fixierungsangriff wird der Benutzer gezwungen, sich mit einer Session-ID zu authentifizieren, die dem Angreifer bekannt ist, wie z. B. einer, die in einem Phishing-Link eingebettet ist. Dies kann auftreten, wenn Session-IDs nach dem Login nicht regeneriert werden, vorhersehbare Tokens oder schwache Sitzungsinvalidierung vorhanden sind.
- Token-Diebstahl über XSS: Cross-Site-Scripting (XSS) bettet bösartige Skripte in eine Webseite ein. Wenn Benutzer die Seite besuchen, können diese Skripte Session-Tokens stehlen. Die Secure-, HttpOnly- und SameSite-Flags können dabei helfen, dies zu verhindern, indem sie Skripte daran hindern, auf Session-Cookies zuzugreifen.
- Malware/Daten-Diebstahl im Browser: Malware, die auf dem System eines Benutzers oder in bösartigen Browsererweiterungen installiert ist, kann Cookies aus dem Dateisystem, dem Browser und anderen Caches stehlen.
- Sidejacking: Sidejacking-Angriffe beinhalten das Abfangen von Session-Tokens aus dem Netzwerkverkehr. Dies ist weitgehend obsolet geworden, da TLS verwendet wird, um den Netzwerkverkehr zu verschlüsseln.
- MitM-Abfang: Bei einem Man-in-the-Middle (MitM) oder On-Path-Angriff fügt sich ein Angreifer in den Kommunikationsweg zwischen dem Benutzer und dem Server ein. Dies ermöglicht es ihnen, Sitzungscookies aus dem Webverkehr des Benutzers abzufangen. Die Verwendung von TLS erschwert dies jedoch ebenfalls.
Alle diese Methoden können Zugang zum Sitzungstoken oder Cookie gewähren. Dann wird es in einem Cookie-Replay- oder „Pass-the-Cookie“-Angriff verwendet, bei dem der Browser oder API-Client des Angreifers es nutzt, um die legitime Benutzersitzung zu übernehmen.
Die Anzeichen einer entführten Sitzung
Entführte Sitzungen beinhalten einen Angreifer, der eine Sitzung von seinem Gerät/Browser verwendet, die er von einem legitimen Benutzer entnommen hat. Einige Indikatoren dafür sind:
- Unmögliche Reisen
- Neuer Gerätefingerabdruck
- Ungewöhnliche ASN oder Geolokalisierung
- Gleichzeitige Sitzungen
- Abnormale Anfrage-Muster
- Versuche zur Privilegieneskalation
- Atypische Administratoraktionen
- Token-Wiederverwendung von zwei Standorten
- Sitzungscookie-Replay ohne normale Browser-Header
- Plötzliche Änderung der Clientmerkmale
Obwohl all dies auf einen Sitzungshijacking-Angriff hinweisen kann, sind sie nicht alle perfekt. Zum Beispiel können mobile IP-Wechsel, VPN-Ausgangsänderungen oder ein gemeinsames NAT falsche positive Erkennungen verursachen. Aus diesem Grund bietet die Korrelation mehrerer Indikatoren eine höhere Zuverlässigkeit bei der Erkennung.
Telemetrie, die hilft, Sitzungsübernahmen zu bestätigen
Verschiedene Protokolle und Telemetriequellen können helfen, einen vermuteten Sitzungsübernahmeangriff zu bestätigen, einschließlich:
- Web-/App-Protokolle: Authentifizierungsereignisse, Muster der Token-Aktualisierung sowie die Ausstellung und Widerruf von Sitzungen.
- Identitätsprotokolle: Anmeldungen bei Identitätsanbietern (IdP), Auslöser für bedingten Zugriff und Schritt-für-Schritt-Herausforderungen.
- Netzwerk- und Endpunkt-Signale: Risikobehaftete Ziele, Malware-Warnungen, Signale zur Browserintegrität und Änderungen der Gerätehaltung.
Folgen von Sitzungsübernahmen
Sitzungsübernahmeangriffe können erhebliche geschäftliche Auswirkungen haben, wie z.B. Kontenübernahmen ohne Passwortdiebstahl, Datenzugriff, betrügerische Transaktionen und Kompromittierung von Administrationskonsolen. Oft sind Websitzungen ein Hauptziel, da Browser Tokens speichern, Benutzer Geräte wiederverwenden und viele Apps annehmen, dass „Sitzung gleich Vertrauen“ ist.
Sitzungsübernahmen sind so gefährlich, weil sie wichtige Identitätsverteidigungen untergraben, einschließlich:
- MFA Bypass: Sitzungsübernahmen können MFA umgehen, wenn MFA nur bei der Anmeldung angewendet wird. Sitzungstokens bleiben nach der Anmeldung gültig, was es einem Angreifer ermöglicht, eine Sitzung zu übernehmen und MFA zu umgehen. Best Practices zur Verhinderung hiervon umfassen Schritt-für-Schritt-Authentifizierung, kontinuierliche Validierung, kurze Token-Lebenszeiten und den Widerruf von Tokens für hochriskante Sitzungen.
- Unwirksames ZTNA: Standardmäßig ist Zero-Trust-Netzwerkzugang (ZTNA) darauf ausgelegt, die Privilegien zu beschränken, die legitimen Benutzern gewährt werden. Bei Sitzungsübernahmen wird ein Angreifer als legitimer Benutzer angesehen, sodass ZTNA keinen Schutz bietet. Die kontinuierliche Überprüfung verwaltet dieses Risiko, indem sie während der gesamten Sitzung regelmäßig Identität, Gerätehaltung und Risikosignale erneut überprüft, nicht nur bei der Anmeldung.
Praktische Verteidigungen gegen Sitzungsübernahmen
Organisationen können Abwehrmaßnahmen gegen Session-Hijacking auf mehreren Ebenen implementieren. Dies umfasst ausdrücklich die Bemühungen, Session-Hijacking zu verhindern und Sitzungstoken vor möglicher Offenlegung zu schützen.
Kontrollen des Sitzungsmanagements, die den Wiederholungswert reduzieren.
Session-Hijacking-Angriffe beinhalten die Verwendung eines gestohlenen Tokens, um eine legitime Sitzung zu übernehmen. Einige Möglichkeiten, dieses Risiko zu mindern, sind:
- Kurze Lebensdauern und erneute Authentifizierung für sensible Aktionen.
- Token-Rotation, Widerruf-Listen, anomaliebasierte Ungültigmachung.
- Erkennung der gleichzeitigen Token-Nutzung aus verschiedenen Client-Kontexten.
Wesentliche Maßnahmen zur Härtung von Browsern und Cookies.
Session-Hijacking-Angriffe erfordern die Fähigkeit, ein Token zu stehlen. Einige Möglichkeiten, dies zu verhindern, sind:
- Verwendung von Secure-, HttpOnly- und SameSite-HTTP-Flags, um den Diebstahl von Cookies über Skripte (XSS) und Cross-Site-Scripting (CSF) zu verhindern.
- Durchsetzung der HTTPS-Nutzung für alle Seiten.
- Schutz lokal gespeicherter Tokens (Tokens im localStorage sind skriptzugänglich).
Verhinderung von Session-Hijacking-Angriffen.
Session-Hijacking ist eine häufige Bedrohung, da Authentifizierungstoken wertvoll sind und es einem Angreifer ermöglichen, sich vor loginorientierten Abwehrmaßnahmen zu drücken. Organisationen benötigen mehrschichtige Abwehrmaßnahmen und eine kontinuierliche Risikobewertung, um kompromittierte Sitzungen nach dem ursprünglichen Login zu identifizieren.
Bei der Suche nach Session-Hijacking-Angriffen sollten Sie auf Folgendes achten:
- Erkannte Sitzungsanomalien.
- Zeit bis zum Widerruf.
- Erhöhte Authentifizierungsraten für risikobehaftete Ereignisse
- Reduzierung von Token-Wiederholungsvorfällen.
FAQ
Kann ein Session-Hijacking auch dann stattfinden, wenn MFA aktiviert ist?
Ja, denn MFA schützt nur das Anmeldeereignis, nicht das Sitzungstoken, das nach der Anmeldung verwendet wird. Wenn ein Angreifer das Sitzungscookie oder Token stiehlt, kann er es verwenden, um auf eine authentifizierte Sitzung zuzugreifen. Kontrollen wie die Erhöhung der Authentifizierung für sensible Aktionen, kurze Sitzungslebensdauern, Token-Rotation und Widerruf bei verdächtigen Aktivitäten verringern das Risiko hierfür. Zudem können Organisationen nach Signalen wie einem neuen Gerät, einem ungewöhnlichen Standort oder abnormalem Verhalten in einer authentifizierten Sitzung überwachen.
Ist Session-Hijacking dasselbe wie Credential Stuffing?
Nein, Credential Stuffing verwendet kompromittierte Benutzername/Passwort-Paare, um sich als der Benutzer anzumelden, und MFA sowie Ratenbegrenzung können helfen, dies zu verhindern. Session-Hijacking übernimmt eine bestehende Sitzung, was durch ein starkes Sitzungsmanagement und Token-Schutzmaßnahmen gemildert werden kann.
Was ist Session-Fixierung und wie wird sie verhindert?
Session-Fixierung ist, wenn der Angreifer das Opfer zwingt, sich mit einer Sitzung-ID zu authentifizieren, die dem Angreifer bekannt ist. Dies ist problematisch, wenn eine Anwendung nach der Authentifizierung oder bei Privilegienänderungen keine neue Sitzung-ID erstellt. Best Practices zur Vermeidung hiervon umfassen die Regenerierung von Sitzung IDs bei der Anmeldung und der Erhöhung von Privilegien, die Ungültigmachung alter Sitzungen, die Ablehnung von Sitzung IDs in URLs und die Gewährleistung einer sicheren Cookie-Verwaltung.
Welche Protokolle oder Signale helfen, eine gehackte Sitzung zu bestätigen?
Gehackte Sitzungen können mithilfe von Protokollen der Webanwendung und des Identitätsanbieters identifiziert werden, einschließlich Daten zur Sitzungsausgabe, Aktualisierungsmustern, Anmeldeereignissen, Auslösern für bedingten Zugriff sowie Abmelde- oder Widerrufereignissen. Hochgradige Indikatoren für eine kompromittierte Sitzung sind dasselbe Sitzungstoken, das von zwei weit voneinander entfernten Standorten verwendet wird, gleichzeitige Sitzungen, die nicht mit normalen Benutzer Mustern übereinstimmen, oder plötzliche Änderungen der Client-Eigenschaften. Die Erkennung kann durch Signale wie Änderungen der Gerätehaltung, Endpunkt-Erkennungen, verdächtiges Browserverhalten und abnormale Aktionsfolgen innerhalb der App verstärkt werden.
Stoppen sichere, HttpOnly und SameSite-Cookies vollständig das Session-Hijacking?
Diese Flags sind darauf ausgelegt, das Risiko zu verringern, dass Sitzungscookies von Skripten, Downgrade-Angriffen und einigen Mustern des Missbrauchs über verschiedene Seiten hinweg gestohlen werden, aber sie verhindern diese Angriffe nicht. Zum Beispiel kann ein Angreifer ein Sitzungscookie mit Malware stehlen, die auf dem Gerät des Benutzers installiert ist. Die Verwendung von TLS überall, CSP, XSS-Prävention, kurzlebigen Sitzungen, Token-Rotation und anomaliemotivierter Schritt-für-Schritt-Authentifizierung kann helfen, das Risiko von Sitzungsübernahmen zu verringern.
This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.