Los hackers roban las cookies para eludir la autenticación de 2 pasos

Jesús Sánchez, 23 agosto 2022

Para eludir la autenticación de 2 pasos, los hackers se apropian de las cookies de las sesiones en línea utilizadas recientemente (MFA).

Los investigadores de Sophos anunciaron ayer un nuevo método de ataque. Según señalaron los investigadores, el “cibercrimen de robo de cookies” puede ser cometido por cualquiera, desde “delincuentes de nivel básico” hasta adversarios avanzados que adoptan diversas tácticas.

Hackeo de cookies

En sitios web y foros clandestinos, los hackers compran contraseñas robadas “en masa”. Las bandas de ransomware roban cookies, y “sus operaciones pueden no ser identificadas por las defensas antimalware ordinarias” porque utilizan ejecutables genuinos como herramientas. Esto dificulta su identificación por parte de las defensas antimalware sencillas.

Los hackers se centran en Internet porque la mayoría de las acciones tienen lugar allí. En las infraestructuras de la nube, las cookies se utilizan para la autenticación de los usuarios.

Existe un mercado considerable de credenciales robadas, y hay una variedad de métodos que pueden utilizarse para clonar sesiones en línea o falsos inicios de sesión. Los atacantes que necesitan exfiltrar datos importantes, robar secretos de empresa o chantajear a las víctimas para que paguen un rescate estarían interesados en obtener el primer acceso.

Hackeo de cookies

Los navegadores de Internet son capaces de guardar las contraseñas y rellenar automáticamente los formularios. Esto permite a los atacantes robar credenciales y eludir el desafío de inicio de sesión que se presenta.

Los archivos de la base de datos SQLite se almacenan en cookies, que son utilizadas por los navegadores. Estas cookies presentan pares clave-valor con tokens y fechas de caducidad que se almacenan dentro de ellas.

En una variedad de sistemas operativos, los adversarios conocen los nombres de estos archivos y las ubicaciones donde se almacenan para Chrome, Firefox y Brave. Esto permite planificar los ataques con antelación. Programas similares se incluyen a veces en virus que roban información y otros tipos de malware.

La versión más reciente de Emotet está diseñada para robar las cookies de los navegadores, así como las tarjetas de crédito guardadas. Según los investigadores de Sophos, el navegador Chrome de Google utiliza el mismo mecanismo de cifrado para las cookies de autenticación de 2 pasos que para la información de las tarjetas de crédito.

El phishing y el spear phishing son dos métodos que los atacantes pueden emplear para instalar droppers, que son programas que roban cookies en segundo plano.

Las cookies se utilizan una vez que se ha completado la explotación y el movimiento lateral. Los ciberdelincuentes pueden utilizarlas para modificar las contraseñas y los correos electrónicos de los usuarios, engañar a los usuarios para que instalen nuevo malware, desplegar el kit Cobalt Strike e Impacket, etc.

Protección del acceso de los usuarios

Los usuarios no deben hacer uso del almacenamiento de contraseñas incorporado, a menos que el navegador cifre las contraseñas almacenadas con una contraseña maestra. Desactive las sesiones persistentes y quite la marca de “recordar contraseñas”.

No es la opción por defecto, pero es posible evitar que el navegador le pida que guarde la contraseña cada vez que inicie sesión. Todas las cookies se pueden borrar desde un navegador cerrado.

El uso de una gestión de contraseñas alivia la carga de introducir repetidamente las credenciales; pero, las sesiones tendrán que ser reautenticadas. Todavía es posible que el software malicioso instale extensiones o procesos falsos que puedan monitorear las conexiones locales y robar los datos del gestor de contraseñas.

Incluso si utilizas Brave como navegador, este método sigue siendo superior a utilizar el navegador para mantener la autenticación durante varios días.

Algunos programas, como Slack, utilizan un tipo de cookie conocido como cookie persistente, que permite que el programa permanezca abierto para siempre incluso después de que se hayan eliminado las cookies específicas de la sesión.

Dado que otros programas utilizan sus propios almacenes de cookies, que pueden estar desactualizados, estos otros programas pueden ser susceptibles de robo de cookies.

Cookies de los desarrolladores

Las implementaciones inefectivas de MFA pueden hacer que los documentos sean susceptibles de ser falsificados. Es responsabilidad de los desarrolladores garantizar la seguridad de las cookies de autenticación; de lo contrario, contribuyen al problema.

Estas cookies deben ser frescas. El uso de la autenticación persistente puede suponer un riesgo algún día.

Las cookies que no tienen las banderas apropiadas pueden ser pirateadas incluso si hay una excelente protección (por ejemplo, HttpOnly, atributo Secure). Las cookies utilizadas para la autenticación deben utilizar SSL o TLS. En ese caso, los actores maliciosos podrían robar las credenciales monitoreando las comunicaciones entrantes y salientes.

Las aplicaciones que guardan los hashes en las cookies en un formato reversible hacen posible que los ladrones puedan predecir y fabricar tokens. Si el algoritmo puede romperse, la aplicación ya no podrá distinguir entre consultas reales y fraudulentas.

Una estrategia CORS eficaz detendrá las inyecciones maliciosas procedentes de fuentes lejanas.

Medidas de seguridad para las empresas

El uso del sentido común, más que los conocimientos técnicos, es esencial para varios aspectos de la ciberseguridad. Los empleados que reciben formación en ciberseguridad pueden beneficiarse.

Es sencillo entender por qué elegirían no terminar su sesión para “acelerar” su trabajo. Cuando los empleados dan prioridad a la comodidad sobre la seguridad, esto da a los atacantes un punto de apoyo en la organización.

Los puntos de autenticación son intrínsecamente peligrosos; por ello, las empresas deben implantar la autenticación multifactor (MFA) siempre que sea posible, aunque se pueda eludir. A pesar de los diversos enfoques, el método es siempre el mismo.

Cuando un sistema de seguridad es demasiado robusto, los adversarios centran su atención en los humanos. El proceso de reautenticación no es la actividad que más tiempo consume, y muchos otros procesos pueden automatizarse con el uso de contraseñas maestras, autocompletado y autodescarga.