Cookies de sessão são uma tentação irresistível para os cibercriminosos

Pesquisadores da equipe de solução SASE da Check Point Software alertam que os cookies podem deixar aplicações SaaS de uma organização vulneráveis a roubo de dados críticos e transações indevidas e não autorizadas; só em 2022, há 22 bilhões de registros de cookies roubados

Imagem ilustrativa – Divulgação Check Point Software Brasil

 Os cookies são uma das tecnologias da web mais importantes, mesmo sendo quase tão antigas quanto o próprio navegador web. Às vezes, eles têm uma má reputação, mas não se pode negar que os cookies tornam a vida digital mais fácil. Eles armazenam informações que nos permitem permanecer conectados a um site e desfrutar de uma experiência produtiva, em vez de ter que fazer login repetidamente e refazer as mesmas ações.

No entanto, os pesquisadores da Check Point Software alertam que os cookies também representam uma oportunidade para os atacantes, que podem roubá-los para realizar uma série de atividades ilícitas. Para as aplicações SaaS de uma organização, isso pode levar ao roubo ou uso indevido de dados sensíveis, transações não autorizadas, entre outros ataques e ameaças cibernéticas.

Neste caso, os pesquisadores estão falando de cookies de sessão. Aqueles cookies de sessão de curta duração - como os gerados por sites bancários - não são particularmente úteis para os atacantes. Entretanto, são os cookies com duração mais longa (ou persistentes) que os interessam, pois são usados em sessões "ativas" que podem persistir por muitas horas ou dias.

É importante observar que os cookies de sessão são usados para autenticar a identidade de um usuário, o que significa que são gerados após a autenticação de múltiplos fatores (MFA). Assim, quando o atacante consegue “passar o cookie” – ou usá-lo para uma nova sessão da web – ele pode se passar por um usuário legítimo.

Ameaça contínua

Os cookies de sessão podem ser roubados de várias maneiras, como explorar redes Wi-Fi não seguras, ataques de script entre sites, phishing, cavalos de Troia e outros malwares e ataques Man-in-the-Middle.

Para um exemplo do mundo real, vamos considerar o malware Racoon Stealer, que é apenas uma das muitas famílias de malwares projetadas para roubar cookies. O grupo de hackers Lapsus$, supostamente usou o Racoon Stealer para obter acesso não autorizado aos sistemas da empresa de jogos eletrônicos Electronic Arts usando um cookie de sessão roubado. Eles criaram uma conta clone de um funcionário existente da EA e acabaram fugindo com centenas de GB de dados, incluindo o código-fonte do jogo.

De fato, o roubo de cookies é bastante comum, com uma estimativa de 22 bilhões de registros de cookies roubados em 2022.

Outro importante alerta que os pesquisadores da Check Point Software ressaltam diz respeito ao Zero Trust e não apenas em como os cookies de sessão do SaaS são roubados. Portanto, eles detalham a seguir sobre como mitigar essa ameaça de roubo de cookies de sessão.

Defesa das aplicações SaaS

Atualmente, as aplicações SaaS são essenciais para fazer negócios, com as organizações utilizando em média 130 aplicações SaaS. Os cookies de sessão para uma aplicação SaaS dariam ao atacante acesso às mesmas informações e permissões do usuário legítimo. Isso poderia incluir transações de vendas e arquivos internos.

No caso de uma sessão de e-mail na web sequestrada, o atacante poderia acessar todos os e-mails do usuário, enviar e-mails que levam outros a tomar ações específicas que beneficiam o atacante, e muito mais. Para mitigar isto, a defesa contra os perigos de cookies de sessão roubados começa por uma solução de proteção SASE.

Uma proteção SASE proporcionará a visibilidade e o controle necessários para mitigar os riscos de segurança do SaaS, atribuindo um endereço IP único e estático para a organização, e apenas o tráfego proveniente do seu endereço terá permissão de acesso às suas aplicações SaaS. Todo o resto é negado por padrão. Mesmo que um atacante tenha obtido cookies de sessão ativos que, novamente, contornam o mecanismo MFA, o tráfego simplesmente seria bloqueado pelo servidor SaaS.

A fácil disponibilidade do SaaS significa acesso conveniente para as equipes das organizações, onde quer que estejam localizados, mas também dá aos atacantes ampla oportunidade para explorar brechas de segurança. Com 55% dos executivos de segurança relatando um incidente recente de segurança do SaaS, está claro que os ataques não estão diminuindo.

Além de um endereço IP único, uma proteção SASE também permite alinhar o acesso e as permissões dos usuários com suas funções e responsabilidades. Isso mantém todos "na sua linha" e impede o acesso não autorizado a aplicações e dados.

A Check Point Software conta com o Check Point Harmony SASE que fornece visibilidade em tempo real e relatórios fáceis dos usuários e dispositivos que se conectam às aplicações SaaS. Se uma organização observar indícios para suspeitar de atividade não autorizada, um usuário e todos os seus dispositivos podem ser desconectados com um simples clique via o Harmony SASE. Isso também é útil quando um funcionário sai da empresa, já que o acesso a todas as aplicações SaaS pode ser desligado instantaneamente.