Кража облачных токенов
Что такое Кража облачных токенов?
Кража облачных токеновХищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
Кража облачных токенов нацелена на короткоживущие bearer-токены, refresh-токены и ключи подписи, выпускаемые современными облачными системами идентификации. Атакующие крадут их с скомпрометированных конечных точек, из cookie браузера, логов синхронизации почтовых ящиков, переменных CI/CD или злоупотребляя согласиями OAuth. Инцидент Microsoft Storm-0558 в 2023 году, когда украденный consumer-ключ подписи MSA позволил подделать токены доступа к Exchange Online и попасть в правительственные почтовые ящики, показывает катастрофический масштаб утечки ключа. Защита включает HSM, conditional access с проверкой постуры устройства, token binding и continuous access evaluation, обнаружение аномалий выпуска токенов и регулярную ротацию материала подписи.
● Примеры
- 01
Storm-0558 подделывает токены Azure AD с украденным consumer-ключом MSA (2023).
- 02
Pass-the-cookie: кража cookie сессии Microsoft 365 для обхода MFA.
● Частые вопросы
Что такое Кража облачных токенов?
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Кража облачных токенов?
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
Как работает Кража облачных токенов?
Кража облачных токенов нацелена на короткоживущие bearer-токены, refresh-токены и ключи подписи, выпускаемые современными облачными системами идентификации. Атакующие крадут их с скомпрометированных конечных точек, из cookie браузера, логов синхронизации почтовых ящиков, переменных CI/CD или злоупотребляя согласиями OAuth. Инцидент Microsoft Storm-0558 в 2023 году, когда украденный consumer-ключ подписи MSA позволил подделать токены доступа к Exchange Online и попасть в правительственные почтовые ящики, показывает катастрофический масштаб утечки ключа. Защита включает HSM, conditional access с проверкой постуры устройства, token binding и continuous access evaluation, обнаружение аномалий выпуска токенов и регулярную ротацию материала подписи.
Как защититься от Кража облачных токенов?
Защита от Кража облачных токенов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Кража облачных токенов?
Распространённые альтернативные названия: Повтор токенов, Кража токенов OAuth.
● Связанные термины
- cloud-security№ 186
Утечка облачных ключей
Случайная публикация долгоживущих облачных ключей доступа в открытых репозиториях, контейнерных образах, логах или клиентском коде, часто эксплуатируемая в течение минут.
- cloud-security№ 079
Атака на AWS IMDSv1
Кража учетных данных роли инстанса EC2 через неаутентифицированные GET-запросы к устаревшему эндпойнту IMDSv1, обычно посредством SSRF.
- cloud-security№ 505
Повышение привилегий IAM
Злоупотребление существующими облачными IAM-разрешениями для получения более высоких прав, часто через изменение политик, передачу ролей или самоприсвоение административных прав.
- cloud-security№ 187
SSRF к облачным метаданным
Атака подделки серверных запросов, при которой через уязвимое приложение виртуальная машина обращается к сервису метаданных облачного провайдера и крадет временные учетные данные.
- attacks№ 1016
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.