Robo de tokens en la nube
¿Qué es Robo de tokens en la nube?
Robo de tokens en la nubeRobo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas.
El robo de tokens en la nube apunta a los bearer tokens de corta vida, refresh tokens y claves de firma que emiten los servicios de identidad modernos. Los atacantes los obtienen desde endpoints comprometidos, cookies del navegador, logs de sincronizacion de buzones, variables de CI/CD o abusando de consentimientos OAuth. El incidente de Microsoft Storm-0558 en 2023, en el que una clave de firma de Microsoft Account robada permitio falsificar tokens de acceso a Exchange Online y acceder a buzones gubernamentales, ilustra el impacto catastrofico de la fuga de una clave de firma. Las defensas incluyen HSM, conditional access basado en postura del dispositivo, token binding, continuous access evaluation, deteccion de anomalias y rotacion agresiva del material de firma.
● Ejemplos
- 01
Storm-0558 falsifica tokens de acceso de Azure AD con una clave MSA consumer robada (2023).
- 02
Pass-the-cookie: robar cookies de sesion del navegador para Microsoft 365 y eludir MFA.
● Preguntas frecuentes
¿Qué es Robo de tokens en la nube?
Robo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Robo de tokens en la nube?
Robo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas.
¿Cómo funciona Robo de tokens en la nube?
El robo de tokens en la nube apunta a los bearer tokens de corta vida, refresh tokens y claves de firma que emiten los servicios de identidad modernos. Los atacantes los obtienen desde endpoints comprometidos, cookies del navegador, logs de sincronizacion de buzones, variables de CI/CD o abusando de consentimientos OAuth. El incidente de Microsoft Storm-0558 en 2023, en el que una clave de firma de Microsoft Account robada permitio falsificar tokens de acceso a Exchange Online y acceder a buzones gubernamentales, ilustra el impacto catastrofico de la fuga de una clave de firma. Las defensas incluyen HSM, conditional access basado en postura del dispositivo, token binding, continuous access evaluation, deteccion de anomalias y rotacion agresiva del material de firma.
¿Cómo defenderse de Robo de tokens en la nube?
Las defensas contra Robo de tokens en la nube combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Robo de tokens en la nube?
Nombres alternativos comunes: Replay de tokens, Robo de tokens OAuth.
● Términos relacionados
- cloud-security№ 186
Filtracion de claves cloud
Exposicion accidental de claves cloud de larga duracion en repositorios publicos, imagenes de contenedor, logs o codigo cliente, a menudo abusadas en minutos.
- cloud-security№ 079
Ataque a AWS IMDSv1
Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF.
- cloud-security№ 505
Escalada de privilegios IAM
Abuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
- cloud-security№ 187
SSRF al metadato de la nube
Ataque SSRF que abusa de una aplicacion vulnerable para consultar el servicio de metadatos de instancia del proveedor cloud y robar credenciales temporales.
- attacks№ 1016
Secuestro de sesión
Ataque que toma el control de la sesión autenticada de una víctima robando o falsificando su identificador de sesión, para actuar como el usuario sin sus credenciales.