Кража облачных токенов
Что такое Кража облачных токенов?
Кража облачных токеновХищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
Кража облачных токенов нацелена на короткоживущие bearer-токены, refresh-токены и ключи подписи, выпускаемые современными облачными системами идентификации. Атакующие крадут их с скомпрометированных конечных точек, из cookie браузера, логов синхронизации почтовых ящиков, переменных CI/CD или злоупотребляя согласиями OAuth. Инцидент Microsoft Storm-0558 в 2023 году, когда украденный consumer-ключ подписи MSA позволил подделать токены доступа к Exchange Online и попасть в правительственные почтовые ящики, показывает катастрофический масштаб утечки ключа. Защита включает HSM, conditional access с проверкой постуры устройства, token binding и continuous access evaluation, обнаружение аномалий выпуска токенов и регулярную ротацию материала подписи.
● Примеры
- 01
Storm-0558 подделывает токены Azure AD с украденным consumer-ключом MSA (2023).
- 02
Pass-the-cookie: кража cookie сессии Microsoft 365 для обхода MFA.
● Частые вопросы
Что такое Кража облачных токенов?
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Кража облачных токенов?
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
Как защититься от Кража облачных токенов?
Защита от Кража облачных токенов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Кража облачных токенов?
Распространённые альтернативные названия: Повтор токенов, Кража токенов OAuth.