Cookies sind ein integraler Bestandteil “des Internets” und werden u.a. zur Identifikation von Benutzern verwendet. Neben dem Tracking für Werbezwecke zählt das Session-Management als Haupteinsatzzweck für Cookies. Wird ein Session-Cookie entwendet, so stellt dies oftmals eine Kompromittierung des betroffenen Benutzers dar. Ein Angreifer kann somit ohne Benutzername und Passwort bzw. ohne Kenntnis des zweiten Authentifizierungsfaktor das Konto übernehmen. Aus diesem Grund sollten Cookies zu den besonders schützenswerten Informationen zählen.

Browser bieten daher die Möglichkeit Cookies über diverse Parameter zu schützen. Hierzu zählen unter anderem die Flags Http-Only und Secure, die verhindern, dass über JavaScript auf Cookies zugegriffen werden kann bzw. Cookies über eine ungesicherte HTTP-Verbindung übertragen werden. Des Weiteren verschlüsseln einige Browserhersteller die Cookies, die zum Persistieren auf der Festplatte gespeichert werden. Durch die korrekte Umsetzung dieser Maßnahmen ist Cookie-Hijacking, also das Übernehmen eines Benutzerkontos durch Diebstahl von Session-Cookies, sehr selten geworden. Jedoch ist es trotz dieser Maßnahmen möglich, Cookies aus Live-Memory (ein Chromium-basierter Browser ist hierbei Ziel dieses Angriffs) zu extrahieren.

Wir zeigen Ihnen, wie dieser Umstand bei Angriffen (bspw. DMA-Angriffe – Vortrag PwC beim Security Forum 2022) verwendet werden kann und welche Bedrohungen für Unternehmen daraus resultieren. Hierzu werden verschiedene Szenarien und Herangehensweisen betrachtet. Folgende Themen werden im Laufe des Vortrags behandelt:

• Grundlegende Architektur von Chromium.
• Unterschiede zu anderen Cookie-Hijacking-Methoden.
• Extraktion von Cookies aus einem Chromium Prozess + Live-Demo.
• Welche Angriffsvektoren ergeben sich daraus?
• Wie lässt sich dieser Angriff verhindern bzw. erschweren?