Os cookies são uma das tecnologias da web mais importantes, mesmo sendo quase tão antigas quanto o próprio navegador web. Às vezes, eles têm uma má reputação, mas não se pode negar que os cookies tornam a vida digital mais fácil. Eles armazenam informações que nos permitem permanecer conectados a um site e desfrutar de uma experiência produtiva, em vez de ter que fazer login repetidamente e refazer as mesmas ações.
No entanto, os pesquisadores da Check Point Software alertam que os cookies também representam uma oportunidade para os atacantes, que podem roubá-los para realizar uma série de atividades ilícitas. Para as aplicações SaaS de uma organização, isso pode levar ao roubo ou uso indevido de dados sensíveis, transações não autorizadas, entre outros ataques e ameaças cibernéticas.
Neste caso, os pesquisadores estão falando de cookies de sessão. Aqueles cookies de sessão de curta duração – como os gerados por sites bancários – não são particularmente úteis para os atacantes. Entretanto, são os cookies com duração mais longa (ou persistentes) que os interessam, pois são usados em sessões “ativas” que podem persistir por muitas horas ou dias.
É importante observar que os cookies de sessão são usados para autenticar a identidade de um usuário, o que significa que são gerados após a autenticação de múltiplos fatores (MFA). Assim, quando o atacante consegue “passar o cookie” – ou usá-lo para uma nova sessão da web – ele pode se passar por um usuário legítimo.
Ameaça contínua
Os cookies de sessão podem ser roubados de várias maneiras, como explorar redes Wi-Fi não seguras, ataques de script entre sites, phishing, cavalos de Troia e outros malwares e ataques Man-in-the-Middle.
Para um exemplo do mundo real, há o malware Racoon Stealer, que é apenas uma das muitas famílias de malwares projetadas para roubar cookies. O grupo de hackers Lapsus$ supostamente usou o Racoon Stealer para obter acesso não autorizado aos sistemas da empresa de jogos eletrônicos Electronic Arts usando um cookie de sessão roubado. Eles criaram uma conta clone de um funcionário existente da EA e acabaram fugindo com centenas de GB de dados, incluindo o código-fonte do jogo.
De fato, o roubo de cookies é bastante comum, com uma estimativa de 22 bilhões de registros de cookies roubados em 2022. Outro importante alerta que os pesquisadores da Check Point Software ressaltam diz respeito ao Zero Trust e não apenas em como os cookies de sessão do SaaS são roubados. Portanto, eles detalham sobre como mitigar essa ameaça de roubo de cookies de sessão.
Defesa das aplicações SaaS
Atualmente, as aplicações SaaS são essenciais para fazer negócios, com as organizações utilizando em média 130 aplicações SaaS. Os cookies de sessão para uma aplicação SaaS dariam ao atacante acesso às mesmas informações e permissões do usuário legítimo. Isso poderia incluir transações de vendas e arquivos internos.
No caso de uma sessão de e-mail na web sequestrada, o atacante poderia acessar todos os e-mails do usuário, enviar e-mails que levam outros a tomar ações específicas que beneficiam o atacante, e muito mais. Para mitigar isto, a defesa contra os perigos de cookies de sessão roubados começa por uma solução de proteção SASE.
Uma proteção SASE proporciona a visibilidade e o controle necessários para mitigar os riscos de segurança do SaaS, atribuindo um endereço IP único e estático para a organização, e apenas o tráfego proveniente do seu endereço terá permissão de acesso às suas aplicações SaaS. O resto é negado por padrão. Mesmo que um atacante tenha obtido cookies de sessão ativos que, novamente, contornam o mecanismo MFA, o tráfego simplesmente seria bloqueado pelo servidor SaaS.
A fácil disponibilidade do SaaS significa acesso conveniente para as equipes das organizações, onde quer que estejam localizados, mas também dá aos atacantes ampla oportunidade para explorar brechas de segurança. Com 55% dos executivos de segurança relatando um incidente recente de segurança do SaaS, está claro que os ataques não estão diminuindo.
Além de um endereço IP único, uma proteção SASE também permite alinhar o acesso e as permissões dos usuários com suas funções e responsabilidades. Isso mantém todos “na sua linha” e impede o acesso não autorizado a aplicações e dados.