Cookies for MFA Bypass Gain Traction Among Cyberattackers
2022/11/12 DarkReading — 最近の Lapsus$ マルウェア・グループは、侵害したシステムのアクセスを取得する際に、パスワードを探し出すだけではなく、デバイスやブラウザを正当なものとして認証するために使用される、Cookie セッション・トークンも検索している。このようなイニシャル・アクセスに関する傾向は、クラウド・サービスやオンプレミス・アプリケーションへのアクセスに攻撃者が使用するパスワードやクッキーが、犯罪者の予備軍から購入されるという状況を浮き彫りにしている。
さらに、システムにアクセスした攻撃者は、後に使用/販売するために Cookie を盗むことを優先させる。そして、盗まれたセッション・トークンが、システムやクラウドサービスを攻撃者から守るための、多要素認証 (MFA) を攻撃者が回避する手段になっていると、CyberArk Labs の Global Research Evangelist である Andy Thompson は述べている。
来週に開催される Black Hat Middle East and Africa での発表において、CyberArk の研究者たちは、攻撃者がセッション・トークンを盗み出した後に、それらを悪用してクラウド・サービスなどにアクセスする方法を紹介する予定だ。
Thompson は、「Cookie が盗まれると、認証と承認の両方がバイパスされる。多要素を用いた認証においても、この Cookie がエンドポイントで確立され、攻撃者によるアクセスを許すことになる」と指摘している。
セッション・トークンの窃取は、攻撃者が多要素認証を回避するための、最も一般的な方法の1つとなっている。マルウェアの Emotet や、MaaS (Malware-as-a-Service) の Raccoon Stealer、キーロガーの RedLine Stealer などは、被害者のシステムにインストールされたブラウザからセッション・トークンを盗み出す機能を備えている。
この8月にセキュリティ・ソフトウェア企業の Sophos は、人気のレッドチーム・ツールである Mimikatz/Metasploit/Meterpreter/Cobalt Strike などが、ブラウザ・キャッシュからの Cookie 採取に悪用されていることを指摘し、それを「新たな境界バイパス」と呼んでいる。
8月のブログ記事で、Sophos の脅威研究者である Sean Gallagher は、「Web サービスへの認証に関連する Cookie は、攻撃者からの Cookie を受け取ることで生じる攻撃で使用される可能性があり、その Cookie が発行された正当なユーザーになりすまし、ログイン・チャレンジなしで Web サービスにアクセスしようとする。それは、ローカルに保存された認証ハッシュを使用して、パスワードを解読することなく、ネットワーク・リソースにアクセスする Pass The Hash 攻撃に似ている」と述べている。
アクセスを持続させるための簡単な攻撃
周知のとおり、Cookieを使用することで、特定のブラウザやデバイスを使用するユーザーは、多要素認証コードを再入力することなく、保護されたサービスにアクセスできる。したがって、攻撃者にとっては、攻撃を成功させるために必要なことは僅かである。CyberArk の Thompson は、「マシンへの何らかのアクセス権さえあれば、Cookie を取得できる。大半の攻撃で必要とされるのは、ソフトウェアをインストールするための、何らかの特権昇格である。それを使えば、権限のレベルに関係なく、すべての必要なものが手に入る。Admin ではなくても、Cookie の収穫に対して脆弱であることに、なんの変わりもない」と述べている。
攻撃者は必然的に MFA に挑む
前述のとおり、セッション Cookie を盗むことは、攻撃者が MFA を回避するための一般的な方法だが、その他にも多くの方法が存在する。キーロガーは、多くの企業で使用されている OTP (One-time password) を、キーロガーで取得するば MFA を回避できる。その一方で、AitM (Adversary-in-the-Middle 攻撃では、標的とするサービスとの間で送信される、セキュリティ情報が取得される。
また、攻撃者は実際のユーザーに対して、バックエンド・システムから認証リクエストを送信することで、アカウントへのアクセスを何度も強いることが可能だ。この、MFA ボミングと呼ばれる手法の目的は、ユーザーをリクエストで圧倒することで疲れさせ、アクセスを許可するようクリックさせることだ。ある攻撃者は、盗み出した Cookie とMFA ボミングを利用して、ライドシェア大手 Uber とエンターテイメント企業のTake-Two Interactive を危険にさらした。
CyberArk の Thompson は、「攻撃者による MFA を回避するのを防ぐ方法は、Cookie 盗難を検知するセキュリティ・ソフトウェアをシステムに追加することだと。つまり、ユーザーにパスワード・マネージャーと MFA を押し付ければ十分とするのではなく、企業にとって必要なことは、何らかのエンドポイント・コントロールを導入することだ」と述べている。
彼は、「このギャップを解決するためには、最小権限/アプリケーション制御/アンチウイルス/EDR/XDR などの、何らかの機能が必要だ。悪意のツールを用いる脅威アクターが、パスワードや Cookie 情報をメモリから取得するのを防く必要がある」と付け加えている。
Cookie 窃取と MFA バイパスの組み合わせが、このところ頭から離れませんでしたが、この記事を訳してみて、少し理解が進んだような気がします。関連するポストとしては、8月11日の「Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される」や、10月19日の「MFA の未来:パスワードレス・ライクとフル・パスワードレスの違いは?」、11月2日の「CISA の MFA ガイダンス:Number Matching 実装でフィッシングに対抗」などがありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.