Anzeige
Anzeige
Anzeige
Lesedauer 4 Min.

Session-Cookie-Diebstahl hebelt 2FA aus

Cyberkriminelle stehlen zunehmend Session-Cookies. Dadurch gelingt es ihnen, die als Ergänzung zum reinen Passwortschutz gedachte Multi- oder Zwei-Faktor-Authentifizierung von Cloud-Diensten auszuhebeln.
Schematische Darstellung einer «Pass the cookie»-Attacke
© (Quelle: Joshua Bedford/Unsplash)

Cyberkriminelle nutzen zunehmend gestohlene Session-Cookies, um die Zwei- oder Multi-Faktor-Authentifizierung (2FA oder MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. Dies berichten IT-Security-Spezialisten von Sophos im Report «Cookie stealing: the new perimeter bypass».

Die Sitzungs- oder Authentifizierungs-Cookies dienen normalerweise dazu, den User eines Web-Dienstes wiederzuerkennen, nachdem er sich mit Passwort und Zweitidentifikation authentifiziert hat. So muss er nicht bei jedem Besuch das doch aufwändige 2FA- oder MFA-Prozedere wiederholen. Diese eigentlich benutzerfreundliche Verfahrensweise wird nun aber immer häufiger missbraucht.

«Im vergangenen Jahr haben wir beobachtet, dass Cyberkriminelle vermehrt auf Cookie-Diebstahl zurückgreifen, um die zunehmende Verbreitung von MFA zu umgehen», sagt Sean Gallagher, Principal Threat Researcher bei Sophos. «Sie nutzen neue und verbesserte Malware – etwa Raccoon Stealer –, um den Diebstahl von Authentifizierungs-Cookies, auch bekannt als Access Tokens, zu vereinfachen», fügt er an. «Wenn Angreifende im Besitz von Session-Cookies sind, können sie sich frei in einem Netzwerk bewegen.»

Sobald Cyberkriminelle in Besitz eines Sitzungs- oder Authentifizierungs-Cookies gelangen, können sie gemäss Sophos einen sogenannten «Pass the Cookie»-Angriff durchführen, bei dem sie das Zugriffstoken in eine neue Web-Sitzung einschleusen und dem Browser vorgaukeln, es melde sich ein authentifizierter Benutzer an. Damit ist keine weitere Authentifizierung mehr erforderlich.

Schematische Darstellung einer «Pass the cookie»-Attacke © Quelle: Sophos

Da bei der Verwendung von MFA auch ein Token erstellt und in einem Webbrowser gespeichert wird, könne derselbe Angriff verwendet werden, um diese zusätzliche Authentifizierungsebene zu umgehen, schreibt Sophos. Erschwerend komme hinzu, dass viele legitime webbasierte Anwendungen langlebige Cookies anlegten, die selten oder nie ablaufen. So würden einige Cookies nur dann gelöscht, wenn sich der Benutzer ausdrücklich vom Dienst abmeldet.

Laut Sophos ist das Klauen von Session-Cookies keine Hexerei mehr. Dank Malware-as-a-Service wird es selbst für eher unerfahrene Cyberkriminelle immer einfacher, in das lukrative Geschäft mit dem Diebstahl von Zugangsdaten einzusteigen.

Sie müssten beispielsweise nur eine Kopie eines Trojaners wie Raccoon Stealer kaufen, um Daten wie Passwörter und Cookies in grossen Mengen zu sammeln, beobachtet der IT-Security-Experte. Danach können die Zugangsdaten auf kriminellen Marktplätzen wie Genesis angeboten werden. Andere Kriminelle in der Angriffskette, wie etwa Ransomware-Betreiber können diese Daten dann kaufen und für ihre dunklen Zwecke missbrauchen.

Die Sophos-Experten beobachten aber auch sehr gezielte Vorgehensweisen, so bei zwei der jüngsten Vorfälle. In einem Fall verbrachten die Angreifenden Monate im Netzwerk des Zielunternehmens und sammelten Cookies des Microsoft-Edge-Browsers. Die erste Kompromittierung erfolgte über ein Exploit-Kit. Anschliessend nutzten sie eine Kombination aus Cobalt-Strike- und Meterpreter-Aktivitäten, um über ein legitimes Compiler-Tool die Zugriffstoken abzugreifen. In einem anderen Fall nutzten die Angreifenden eine legitime Microsoft-Visual-Studio-Komponente, um eine bösartige Malware abzusetzen, die eine Woche lang Cookie-Dateien abfing.

«Während wir in der Vergangenheit massenhaften Cookie-Diebstahl beobachten konnten, gehen Cyberkriminelle jetzt gezielt und präzise vor, um Cookies zu stehlen», berichtet Gallagher. «Da ein grosser Teil des Arbeitsplatzes inzwischen webbasiert ist, gibt es keine Grenzen für die bösartigen Aktivitäten, die Angreiferinnen und Angreifer mit gestohlenen Sitzungscookies durchführen können», ergänzt er. So könnten sie Cloud-Infrastrukturen manipulieren, geschäftliche E-Mails kompromittieren, andere Mitarbeitende zum Herunterladen von Malware überreden oder sogar Code für Produkte umschreiben. Die einzige Grenze sei ihre eigene Kreativität, so Gallagher.

«Erschwerend kommt hinzu, dass es keine einfache Lösung gibt. Zwar können Dienste beispielsweise die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass sich die Benutzerinnen und Benutzer häufiger neu authentifizieren müssen», gibt Gallagher zu Bedenken. «Da die Angreifenden legitime Anwendungen nutzen, um Cookies abzugreifen, müssen Unternehmen die Erkennung von Malware mit einer Verhaltensanalyse kombinieren», so sein Fazit.

Cloud & Infrastruktur Business & IT-Strategie
Anzeige

Neueste Beiträge

Bitkom: Deutsche Digitalwirtschaft zeigt sich weiter stabil
Laut dem Bitkom soll der deutsche Markt für IT und Telekommunikation auch 2026 weiter wachsen. Einen Boom gibt es im Segment der Cloud-Software und bei KI-Plattformen, während der TK-Bereich deutlich weniger zulegt, doch zumindest Zeichen der Erholung aufweist.
3 Minuten
9. Jul 2026
ICT-Fachmesse CONNECT von Brack.Alltron erscheint in neuem Gewand
Unter dem Motto «Unboxing Tomorrow» möchte die Handelsgruppe Brack.Alltron die ICT-Themen von morgen präsentieren. 
3 Minuten
10. Jul 2026
Mittelklasse: Nothing zeigt das Phone (4b)
Beim neuen Phone (4b) setzt Nothing auf ein attraktives Preis-Leistungsverhältnis. Das Design der Rückseite ist weniger extravagant als bei anderen Modellen des Herstellers, hat aber zumindest wieder ein ungewöhnliches Element.
2 Minuten
9. Jul 2026

Das könnte Sie auch interessieren

E-Mail «Neue Sprachnachricht» ist Phishing
Betrüger versenden E-Mails, in denen sie behaupten, dass eine neue Sprachnachricht bereitstehe. Damit versuchen sie, an Zugangsdaten von persönlichen Benutzerkonten zu gelangen.
3 Minuten
Open-Source-Technologien im Sicherheitsbereich - Parldigi | Digitale Nachhaltigkeit
In Staat und Wirtschaft kommen seit längerem Open-Source-Technologien zum Einsatz. Doch welche Rolle spielt Open-Source im Bereich Security? Auf diese Frage gab der Parldigi-Anlass in Bern u. a. mit Bundesrat Martin Pfister mögliche Antworten.
4 Minuten
26. Jun 2026
Digital Business im Fokus: Wohin geht die Reise? - Computerworld Ausgabe 2/2026
Autonomie und Souveränität werden inzwischen als Schlagworte mindestens ebenso häufig verwendet wie Künstliche Intelligenz und Datenschutz. Automatisierung und die Transformation zu einer hohen Dichte an KI-Agenten in Unternehmen werden die Zukunft des Digital Business prägen. Daraus entsteht ein Mix, der spannender und komplexer nicht sein könnte. Die Digitalisierung hat Dimensionen erreicht, die sich - Ironie des Wandels - fast nur noch mit KI bewältigen lassen. Höchste Zeit also für einen Überblick. 
2 Minuten
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige