Аналитики информационной безопасности описали интересный типа атак, pre-hijacking, в рамках которого хакеры могут скомпрометировать чужие аккаунты LinkedIn, Zoom, WordPress, Dropbox еще до их регистрации.
Чтобы такая атака сработал, хакеру необходимо знать адрес электронной почты своей будущей жертвы, что несложно выяснить с помощью переписки или «благодаря» многочисленным утечкам данных.🤷🏼♀️
После этого злоумышленник должен создать учетную запись на уязвимом сайте, используя чужой email-адрес и надеясь, что жертва не обратит внимания на уведомление.
Затем злоумышленнику нужно дождаться, когда жертва решить создать аккаунт на этом сайте, или обманом вынудить ее сделать это.
В итоге атакующий получает возможность провести пять различных атак:
🔻Classic-federated merge: уязвимая платформа поддерживает слияние учетных записей, и, когда цель создает учетную запись с существующим email-адресом, в некоторых случаях даже не уведомляет об этом факте. Атака основана на предоставлении жертве опции Single-Sign-On, поэтому жертва вообще не меняет пароль, установленный злоумышленником.
🔻Unexpired session: после создания учетной записи хакер сохраняет сеанс активным с помощью автоматизированного скрипта. Когда жертва создает учетную запись и сбрасывает пароль, активный сеанс может остаться активным, поэтому злоумышленник сохранит доступ к учетной записи.
🔻Trojan identifier: сочетает в себе типы атак Classic-Federated Merge и Unexpired Session. Атакующий создает предварительно взломанную учетную запись, используя email-адрес жертвы, а затем связывает учетную запись с учетной записью злоумышленника для федеративной аутентификации. Когда жертва сбрасывает пароль злоумышленник все еще сохраняет доступ к учетной записи через маршрут федеративной аутентификации.
🔻Unexpired email change: злоумышленник создает учетную запись, используя адрес электронной почты жертвы, а затем отправляет запрос на изменение этого адреса, но не подтверждает его. После того как жертва сама выполняет сброс пароля, злоумышленник подтверждает изменение и перехватывает управление учетной записью.
🔻Non-verifying IdP: хакер злоупотребляет отсутствием верификации собственности при создании учетной записи, что открывает возможности по злоупотреблению облачными логин-сервисами, такими как Okta и Onelogin.
Так как сегодня многие сервисы требуют, чтобы новые пользователи подтверждали, что почтовый адрес принадлежит именно им, в таких случаях создание новых учетных записей с чужими email-адресами не будет работать. Чтобы обойти это ограничение, злоумышленник может создать учетную запись, используя собственный адрес электронной почты, а затем изменить его на email жертвы, злоупотребив стандартной функциональностью, доступной в большинстве онлайн-сервисов.🤨
☝🏻К сожалению, эксперты резюмируют, что из 75 популярных онлайн-сервисов как минимум 35 из них уязвимы для атак.
The post was edited by 26 May 2022 - 00:45