云端令牌窃取
云端令牌窃取 是什么?
云端令牌窃取从云身份服务窃取 OAuth、SAML 或签名令牌,并重放以冒充用户或服务,无需密码。
云端令牌窃取针对现代云身份系统颁发的短时令牌、刷新令牌和签名密钥。攻击者通过受感染终端、浏览器 cookie、邮箱同步日志、CI/CD 变量或滥用 OAuth 同意授权来获取这些令牌。2023 年 Microsoft Storm-0558 事件中,被盗的 Microsoft Account 消费者签名密钥被用于伪造 Exchange Online 访问令牌并访问政府邮箱,说明签名密钥泄露的破坏范围极其严重。防御措施包括硬件保护的密钥存储(HSM)、基于设备态势的条件访问、令牌绑定与持续访问评估、令牌签发的异常检测,以及对签名材料的频繁轮换。
● 示例
- 01
Storm-0558 使用被盗的 MSA 消费者签名密钥伪造 Azure AD 访问令牌(2023)。
- 02
Pass-the-cookie:窃取 Microsoft 365 的浏览器会话 cookie 以绕过 MFA。
● 常见问题
云端令牌窃取 是什么?
从云身份服务窃取 OAuth、SAML 或签名令牌,并重放以冒充用户或服务,无需密码。 它属于网络安全的 云安全 分类。
云端令牌窃取 是什么意思?
从云身份服务窃取 OAuth、SAML 或签名令牌,并重放以冒充用户或服务,无需密码。
云端令牌窃取 是如何工作的?
云端令牌窃取针对现代云身份系统颁发的短时令牌、刷新令牌和签名密钥。攻击者通过受感染终端、浏览器 cookie、邮箱同步日志、CI/CD 变量或滥用 OAuth 同意授权来获取这些令牌。2023 年 Microsoft Storm-0558 事件中,被盗的 Microsoft Account 消费者签名密钥被用于伪造 Exchange Online 访问令牌并访问政府邮箱,说明签名密钥泄露的破坏范围极其严重。防御措施包括硬件保护的密钥存储(HSM)、基于设备态势的条件访问、令牌绑定与持续访问评估、令牌签发的异常检测,以及对签名材料的频繁轮换。
如何防御 云端令牌窃取?
针对 云端令牌窃取 的防御通常结合技术控制与运营实践,详见上方完整定义。
云端令牌窃取 还有哪些其他名称?
常见的别称包括: 令牌重放, OAuth 令牌窃取。
● 相关术语
- cloud-security№ 186
云密钥泄露
长期有效的云访问密钥意外暴露在公开仓库、容器镜像、日志或客户端代码中,通常在几分钟内被滥用。
- cloud-security№ 079
AWS IMDSv1 攻击
通过向旧版 IMDSv1 端点发送未认证的 GET 请求(通常借助 SSRF)窃取 EC2 实例角色凭据。
- cloud-security№ 505
IAM 权限提升
利用现有的云 IAM 权限获取更高权限,常见手段包括修改策略、传递角色或为自身授予管理员权限。
- cloud-security№ 187
云元数据 SSRF
一种服务端请求伪造攻击,通过有漏洞的应用让虚拟机查询云厂商的实例元数据服务,窃取临时凭据。
- attacks№ 1016
会话劫持
通过窃取或伪造会话标识符,接管受害者已认证的会话,使攻击者无需密码即可冒充其身份的攻击。
● 参见
- № 598Kubernetes 集群攻击
- № 183云端数据外泄