Cloud-Token-Diebstahl
Was ist Cloud-Token-Diebstahl?
Cloud-Token-DiebstahlDiebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
Cloud-Token-Diebstahl zielt auf kurzlebige Bearer-Tokens, Refresh-Tokens und Signing-Keys, die moderne Cloud-Identitaetssysteme ausstellen. Angreifer entwenden sie von kompromittierten Endpoints, Browser-Cookies, Mailbox-Sync-Logs, CI/CD-Variablen oder durch Missbrauch von OAuth-Einwilligungen. Der Microsoft-Storm-0558-Vorfall 2023, bei dem ein gestohlener Microsoft-Account-Consumer-Signing-Key zur Faelschung von Exchange-Online-Tokens und zum Zugriff auf Regierungspostfaecher genutzt wurde, zeigt die katastrophale Reichweite eines Signing-Key-Leaks. Verteidigung umfasst HSM, Conditional Access mit Device Posture, Token Binding, Continuous Access Evaluation, Anomalie-Erkennung bei der Tokenausstellung und aggressive Rotation des Signing-Materials.
● Beispiele
- 01
Storm-0558 faelscht Azure-AD-Access-Tokens mit einem gestohlenen MSA-Consumer-Signing-Key (2023).
- 02
Pass-the-Cookie: Diebstahl von Browser-Session-Cookies fuer Microsoft 365, um MFA zu umgehen.
● Häufige Fragen
Was ist Cloud-Token-Diebstahl?
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Cloud-Token-Diebstahl?
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
Wie schützt man sich gegen Cloud-Token-Diebstahl?
Schutzmaßnahmen gegen Cloud-Token-Diebstahl kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cloud-Token-Diebstahl?
Übliche alternative Bezeichnungen: Token-Replay, OAuth-Token-Diebstahl.