El secuestro de secciones es una técnica que ha evolucionado en tal grado que los atacantes se han especializado en aludir la autenticación multifactor (MFA). Considerando que tan solo en el 2023, Microsoft reportó un aumento significativo de ataques de repetición de tokens (111%) en comparación al año anterior y, los ataques a cookies de sesión se han vuelto tan comunes como aquellos basados en la adquisición de contraseñas Google, se puede deducir que nos enfrentamos a una amenaza latente.

Si bien, esta técnica no es reciente, a diferencia de los ataques antiguos de man-in-the-middle (MitM), en donde se espiaba el tráfico de red local no seguro para capturar credenciales o información financiera, los cuales presentaban fallas ante controles básicos como tráfico cifrado, VPNs o MFA, el secuestro moderno es altamente confiable para eludir controles defensivos estándar, enfocándose en aplicaciones y servicios en la nube.

¿Cuál es el interés de robar tus sesiones?

Principalmente, al ser una sesión activa, no deben preocuparse de nombres de usuario y contraseñas puesto que es una sesión autenticada, logrando así eludir controles de identidad, y de este modo comprometer la mayoría de los datos de clientes, poniendo en riesgo la integridad de tu empresa.

Sin embargo, el enfoque del atacante puede ser diverso, ya sea utilizando kits de phishing modernos como AitM y BitM o herramientas que apuntan a datos del navegador, como infostealers.

Ataques de phishing modernos: AitM y BitM

Los kits de phishing modernos obligan a las víctimas a completar la verificación de MFA. AitM actúa como un proxy, permitiendo que los atacantes intercepten todo el material de autenticación, incluidos los tokens de sesión, mientras que en BitM se engaña a la víctima para obtener un control en forma remota, iniciando sesión en la aplicación deseada desde el computador del cibercriminal. Así, a diferencia de los ataques MitM tradicionales, que son oportunistas, AitM es más enfocado en cuentas pertenecientes a una aplicación o servicio específico según el programa que esté emulando o el sitio que esté suplantando.

Infostealers

Por otro lado, los infostealers son ataques menos dirigidos y más oportunistas en comparación con AitM, utilizando métodos como la infección de sitios web, publicidad maliciosa y foros de juegos para propagarse. Se centran en robar todas las cookies de sesión y credenciales almacenadas en los navegadores de las víctimas, lo que expone más sesiones al riesgo. Debido a ello, son bastante flexibles.

En aquellos escenarios en donde existan controles que impidan el acceso desde el dispositivo del hacker (como IP estrictas, que requieran de una dirección especifica), pueden intentar atacar otras aplicaciones, y aunque se implementen monitoreos más robustos en plataformas como M365, es menos probable que se empleen en aplicaciones secundarias, permitiendo que las sesiones sean robadas y reanudadas sin necesidad de autenticación adicional.

Vale decir que, los infostealers no siempre son bloqueados por los EDR. Aunque los mejores softwares puedan detectar la mayoría de los stealers más comunes, los cibercriminales desarrollan malwares personalizados para evadir la detección, generando un ciclo interminable en los que es imposible estar protegido de forma absoluta.

Esta suele originarse en dispositivos no administrados, como aquellos utilizados en políticas de BYOD. Un compromiso en un dispositivo personal puede fácilmente llevar a la exposición de credenciales corporativas, ya que los perfiles del navegador se sincronizan entre equipos, y que suele ocurrir cuando un usuario guarda credenciales corporativas en su navegador personal, lo que puede resultar en la sustracción de información sensible tras una infección.

Soluciones

Algunas metodologías que se pueden implementar para disminuir los riesgos de secuestro de sesiones son principalmente capacitar a los empleados para detectar correos electrónicos sospechosos y phishing, implementar herramientas de monitoreo de sesiones activas para identificar accesos inusuales desde ubicaciones desconocidas, activando alertas ante comportamientos atípicos, limitar o desactivar la sincronización de perfiles entre dispositivos personales y corporativos, o en su defecto, otorgar equipos que solo se utilicen en el ámbito empresarial, haciendo cumplir las políticas de Seguridad para BYOD, evitando así la propagación de infostealers. Implementar Tecnología de Prevención de Perdida de Datos (DPL) para identificar y proteger datos sensibles y evitar su filtración durante un ataque y realizar auditorías periódicas de acceso y privilegios para asegurarse de que los usuarios poseen acceso solo a lo que requieren para desempeñarse en su cargo.

Independientemente del contexto expuesto, el uso de Autenticación multifactor (MFA) es imprescindible, puesto que adiciona una “capa” de seguridad ante ataques de robo de credenciales, así como la implementación de EDR, puesto que permiten detectar comportamientos inusuales y malwares, asegurando que se mantengan actualizados y configurados correctamente.

Referencias

-Session Hijacking 2.0 — The Latest Way That Attackers are Bypassing MFA