Furto de cookies de sessão para aplicações SaaS é uma ameaça crescente às organizações

As cookies, nomeadamente as cookies de sessão, podem representar uma oportunidade para os cibercriminosos. De acordo com a Check Point Software Technologies, no caso das aplicações SaaS de uma organização, a exfiltração de cookies por parte de atores de ameaça pode levar à obtenção ou utilização indevida de dados sensíveis ou transações não autorizadas.  

As cookies de sessão são utilizadas para autenticar a identidade de um utilizador, sendo que a sua curta duração significa que são menos úteis para os atacantes. No entanto, as cookies de duração mais longa podem ser uma arma valiosa para os cibercriminosos, visto que são utilizadas para sessões “ativas” que podem persistir durante várias horas ou dias.

A Check Point explica em comunicado que as session cookies são geradas após o MFA e, desta forma, “quando o atacante pode “passar a cookie” – ou utilizá-la para uma nova sessão web – pode fazer-se passar por um utilizador legítimo”.

Existem diversas formas através das quais os atacantes podem exfiltrar as cookies de sessão, como o acesso a redes Wi-Fi não seguras, ataques de scripting entre sites, phishing, trojans e outro malware e ataques man-in-the-middle. Em 2022, estima-se que foram exfiltrados 22 mil milhões de registos de cookies.

O malware Racoon Stealer, em particular, é uma das várias famílias de malware criadas para obter cookies. Um exemplo concreto é a utilização do Racoon Stealer pela parte do grupo de cibercriminosos Lapsus$ para obter acesso não autorizado aos sistemas da empresa de videojogos Electronic Arts, recorrendo às cookies de sessão furtadas.

Uma organização média utiliza 130 aplicações SaaS, refere a Check Point, sendo, por esta razão, essenciais para a atividade empresarial. As session cookies para uma aplicação SaaS. A obtenção de session cookies para uma aplicação SaaS concederia a um cibercriminoso acesso a informações e permissões de um utilizador legítimo, como transações de vendas e ficheiros internos.

Se uma sessão de webmail for sequestrada, um atacante teria acesso a todos os emails do utilizador, podendo até enviar emails que incitassem outros a tomar ações específicas para o benefício do cibercriminoso, acrescenta a Check Point.

Neste contexto, a Check Point apresenta o Harmony SASE SaaS Protection, que, diz, atribui um endereço IP único e estático a uma organização. Neste sentido, apenas o tráfego proveniente do endereço da empresa poderá aceder às suas aplicações SaaS, sendo os restantes negados por padrão. “Mesmo que um atacante tenha obtido session cookies ativas que, mais uma vez, contornam o mecanismo MFA, o tráfego seria simplesmente bloqueado pelo servidor SaaS”, afirma.

Segundo a empresa, 55% dos executivos de segurança reportaram um incidente de segurança SaaS recente, o que significa que este tipo de ataques é bastante comum. O Harmony SASE procura dar a visibilidade e o controlo a uma organização, com vista a mitigar os riscos de segurança SaaS. 

“A fácil disponibilidade do SaaS significa um acesso conveniente para os membros da sua equipa, onde quer que estejam localizados, mas também dá aos atacantes uma ampla oportunidade de procurar as lacunas de segurança”, destaca a Check Point.