Cookie Monster – Another way of cookie hijacking
Kurzfassung
Cookies sind ein integraler Bestandteil “des Internets” und werden u.a. zur Identifikation von Benutzern verwendet. Neben dem Tracking für Werbezwecke zählt das Session-Management als Haupteinsatzzweck für Cookies. Wird ein Session-Cookie entwendet, so stellt dies oftmals eine Kompromittierung des betroffenen Benutzers dar. Ein Angreifer kann somit ohne Benutzername und Passwort bzw. ohne Kenntnis des zweiten Authentifizierungsfaktor das Konto übernehmen. Aus diesem Grund sollten Cookies zu den besonders schützenswerten Informationen zählen.
Browser bieten daher die Möglichkeit Cookies über diverse Parameter zu schützen. Hierzu zählen unter anderem die Flags Http-Only und Secure, die verhindern, dass über JavaScript auf Cookies zugegriffen werden kann bzw. Cookies über eine ungesicherte HTTP-Verbindung übertragen werden. Des Weiteren verschlüsseln einige Browserhersteller die Cookies, die zum Persistieren auf der Festplatte gespeichert werden. Durch die korrekte Umsetzung dieser Maßnahmen ist Cookie-Hijacking, also das Übernehmen eines Benutzerkontos durch Diebstahl von Session-Cookies, sehr selten geworden. Jedoch ist es trotz dieser Maßnahmen möglich, Cookies aus Live-Memory (ein Chromium-basierter Browser ist hierbei Ziel dieses Angriffs) zu extrahieren.
Wir zeigen Ihnen, wie dieser Umstand bei Angriffen (bspw. DMA-Angriffe – Vortrag PwC beim Security Forum 2022) verwendet werden kann und welche Bedrohungen für Unternehmen daraus resultieren. Hierzu werden verschiedene Szenarien und Herangehensweisen betrachtet. Folgende Themen werden im Laufe des Vortrags behandelt:
- Grundlegende Architektur von Chromium.
- Unterschiede zu anderen Cookie-Hijacking-Methoden.
- Extraktion von Cookies aus einem Chromium Prozess + Live-Demo.
- Welche Angriffsvektoren ergeben sich daraus?
- Wie lässt sich dieser Angriff verhindern bzw. erschweren?
Vortragende
Michael Knoll, BSc.
Associate, Cybersecurity & Privacy, PwC Österreich
Michael Knoll ist Mitarbeiter im Bereich Technical Security bei PwC in Österreich und ist spezialisiert in den Offensive Security Bereichen Physische Security Assessments und Phishing Simulationen.
Markus Sojer, MSc.
Senior Manager, Cybersecurity & Privacy, PwC Österreich
Markus Sojer leitet den Bereich Technical Security bei PwC in Österreich und ist spezialisiert in den Bereichen Offensive Security (Penetration Testing, Red Teaming, etc.) sowie Security Enterprise Architecture. Darüber hinaus ist Markus Sojer Vortragender für das Thema “Sicherheit und SOA / Microservices” an der FH Burgenland.