Roubo de tokens na nuvem
O que é Roubo de tokens na nuvem?
Roubo de tokens na nuvemRoubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
O roubo de tokens na nuvem visa os bearer tokens de curta duracao, refresh tokens e chaves de assinatura emitidos por servicos de identidade modernos. Os atacantes recolhem-nos a partir de endpoints comprometidos, cookies do navegador, logs de sincronizacao de caixas de correio, variaveis de CI/CD ou abusando de consentimentos OAuth. O incidente Microsoft Storm-0558 em 2023, em que uma chave de assinatura MSA roubada permitiu forjar tokens Exchange Online e aceder a caixas governamentais, ilustra o impacto catastrofico de uma fuga de chave de assinatura. Defesas incluem HSM, conditional access com postura do dispositivo, token binding, continuous access evaluation, deteca de anomalias e rotacao agressiva do material de assinatura.
● Exemplos
- 01
Storm-0558 forja tokens Azure AD com uma chave MSA consumer roubada (2023).
- 02
Pass-the-cookie: roubar cookies de sessao do navegador para Microsoft 365 e contornar MFA.
● Perguntas frequentes
O que é Roubo de tokens na nuvem?
Roubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Roubo de tokens na nuvem?
Roubo de tokens OAuth, SAML ou de assinatura a um servico de identidade cloud e respetiva repeticao para se fazer passar por utilizadores ou servicos sem senhas.
Como funciona Roubo de tokens na nuvem?
O roubo de tokens na nuvem visa os bearer tokens de curta duracao, refresh tokens e chaves de assinatura emitidos por servicos de identidade modernos. Os atacantes recolhem-nos a partir de endpoints comprometidos, cookies do navegador, logs de sincronizacao de caixas de correio, variaveis de CI/CD ou abusando de consentimentos OAuth. O incidente Microsoft Storm-0558 em 2023, em que uma chave de assinatura MSA roubada permitiu forjar tokens Exchange Online e aceder a caixas governamentais, ilustra o impacto catastrofico de uma fuga de chave de assinatura. Defesas incluem HSM, conditional access com postura do dispositivo, token binding, continuous access evaluation, deteca de anomalias e rotacao agressiva do material de assinatura.
Como se defender contra Roubo de tokens na nuvem?
As defesas contra Roubo de tokens na nuvem costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Roubo de tokens na nuvem?
Nomes alternativos comuns: Repeticao de tokens, Roubo de tokens OAuth.
● Termos relacionados
- cloud-security№ 186
Fuga de chaves cloud
Exposicao acidental de chaves de acesso cloud de longa duracao em repositorios publicos, imagens de contentor, logs ou codigo cliente, normalmente abusada em minutos.
- cloud-security№ 079
Ataque a AWS IMDSv1
Roubo de credenciais do papel de instancia EC2 atraves de pedidos GET nao autenticados ao endpoint antigo IMDSv1, normalmente via SSRF.
- cloud-security№ 505
Escalonamento de privilegios IAM
Abuso de permissoes IAM existentes na nuvem para obter privilegios superiores, normalmente por edicao de politica, assuncao de papel ou auto-concessao de direitos administrativos.
- cloud-security№ 187
SSRF de metadados na nuvem
Ataque SSRF que abusa de uma aplicacao vulneravel para consultar o servico de metadados de instancia do provedor de nuvem e roubar credenciais temporarias.
- attacks№ 1016
Sequestro de sessão
Ataque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais.