Cloud-Token-Diebstahl
Was ist Cloud-Token-Diebstahl?
Cloud-Token-DiebstahlDiebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
Cloud-Token-Diebstahl zielt auf kurzlebige Bearer-Tokens, Refresh-Tokens und Signing-Keys, die moderne Cloud-Identitaetssysteme ausstellen. Angreifer entwenden sie von kompromittierten Endpoints, Browser-Cookies, Mailbox-Sync-Logs, CI/CD-Variablen oder durch Missbrauch von OAuth-Einwilligungen. Der Microsoft-Storm-0558-Vorfall 2023, bei dem ein gestohlener Microsoft-Account-Consumer-Signing-Key zur Faelschung von Exchange-Online-Tokens und zum Zugriff auf Regierungspostfaecher genutzt wurde, zeigt die katastrophale Reichweite eines Signing-Key-Leaks. Verteidigung umfasst HSM, Conditional Access mit Device Posture, Token Binding, Continuous Access Evaluation, Anomalie-Erkennung bei der Tokenausstellung und aggressive Rotation des Signing-Materials.
● Beispiele
- 01
Storm-0558 faelscht Azure-AD-Access-Tokens mit einem gestohlenen MSA-Consumer-Signing-Key (2023).
- 02
Pass-the-Cookie: Diebstahl von Browser-Session-Cookies fuer Microsoft 365, um MFA zu umgehen.
● Häufige Fragen
Was ist Cloud-Token-Diebstahl?
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Cloud-Token-Diebstahl?
Diebstahl von OAuth-, SAML- oder Signatur-Tokens aus einem Cloud-Identitaetsdienst und deren Replay, um Benutzer oder Services ohne Passwoerter zu imitieren.
Wie funktioniert Cloud-Token-Diebstahl?
Cloud-Token-Diebstahl zielt auf kurzlebige Bearer-Tokens, Refresh-Tokens und Signing-Keys, die moderne Cloud-Identitaetssysteme ausstellen. Angreifer entwenden sie von kompromittierten Endpoints, Browser-Cookies, Mailbox-Sync-Logs, CI/CD-Variablen oder durch Missbrauch von OAuth-Einwilligungen. Der Microsoft-Storm-0558-Vorfall 2023, bei dem ein gestohlener Microsoft-Account-Consumer-Signing-Key zur Faelschung von Exchange-Online-Tokens und zum Zugriff auf Regierungspostfaecher genutzt wurde, zeigt die katastrophale Reichweite eines Signing-Key-Leaks. Verteidigung umfasst HSM, Conditional Access mit Device Posture, Token Binding, Continuous Access Evaluation, Anomalie-Erkennung bei der Tokenausstellung und aggressive Rotation des Signing-Materials.
Wie schützt man sich gegen Cloud-Token-Diebstahl?
Schutzmaßnahmen gegen Cloud-Token-Diebstahl kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cloud-Token-Diebstahl?
Übliche alternative Bezeichnungen: Token-Replay, OAuth-Token-Diebstahl.
● Verwandte Begriffe
- cloud-security№ 186
Cloud-Key-Leak
Versehentliches Veroeffentlichen langlebiger Cloud-Zugangsschluessel in oeffentlichen Repositories, Container-Images, Logs oder Client-Code, oft binnen Minuten ausgenutzt.
- cloud-security№ 079
AWS-IMDSv1-Angriff
Diebstahl von EC2-Instance-Role-Credentials durch unauthentifizierte GET-Requests an den Legacy-Endpunkt IMDSv1, meist ueber SSRF.
- cloud-security№ 505
IAM-Privilege-Escalation
Missbrauch bestehender Cloud-IAM-Berechtigungen, um hoehere Rechte zu erlangen, oft durch Policy-Bearbeitung, Rollenuebernahme oder Selbsterteilung administrativer Rechte.
- cloud-security№ 187
Cloud-Metadata-SSRF
Server-Side-Request-Forgery-Angriff, der eine verwundbare Anwendung dazu bringt, den Instance-Metadata-Service des Cloud-Anbieters abzufragen und temporaere Zugangsdaten zu stehlen.
- attacks№ 1016
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.