聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
在這種攻擊中,攻擊者在受害者登記在線服務之前就將賬戶接管 exploit 設置為運行狀態。受害者註冊後,攻擊者利用該服務認證機制中的安全漏洞,訪問或接管新建賬戶的所有權限。
研究發現,數十個大流量服務易受至少一種預劫持攻擊的影響。這項研究揭示了和賬戶創建有關的安全問題,而這個問題是少有人審計的問題。
這項研究獲得了MSRC 在2020年早期支持的身份項目研究基金。MSRC的高級研究員 Andrew Paverd 以及獨立研究員 Avinash Sudhodanan 表示,「在這個項目中,我們探索了多個主題,但不久注意到和『預劫持』威脅模型有關的模式。」
賬戶預劫持假設受害者尚未在目標服務上擁有賬戶,而攻擊者知道受害者的郵箱地址和其它基本詳情。研究人員發現了五種預劫持攻擊場景。一些場景利用的是很多在線服務支持的多賬戶創建模式。在很多網站,用戶可直接提供一個郵箱地址和密碼來創建賬戶,或者使用以客戶為本的單點登錄服務來使用聯合認證,如Facebook、谷歌和微軟使用的那樣。
例如,在一種攻擊類型中,攻擊者以受害者的郵箱地址創建了一個賬戶。該受害者之後使用聯合認證方式創建了一個賬戶。在某些服務中,它融合了攻擊者和受害者的賬戶,使他們同時擁有對同一個賬戶的同步訪問權限。
在另外一種攻擊類型中,攻擊者以受害者的郵件地址創建了一個賬戶並將自己的聯合身份關聯到同一個賬戶。當受害者嘗試創建自己的賬戶時,會要求修改賬戶密碼。雖然受害者能夠獲得該賬戶的訪問權限,但攻擊者將能夠通過SSO身份來訪問賬戶。
研究人員表示,「看到這麼多在線服務開始使用單點登錄令人鼓舞,但這意味着它們或不得不支持多登錄機制。這本身並非問題,很多服務都在以安全的方式這樣做。我們的研究只是提出了在支持多登錄機制時應該注意的一些細節問題。」
Paverd 和 Sudhodanan 指出,他們發現的三種攻擊類型無需服務支持多登錄機制。例如,在一種攻擊類型中,攻擊者的會話甚至在受害者恢復賬戶且重置密碼的情況下仍然可能是活躍的。在另外一個場景中,攻擊者通過受害者的郵箱地址創建了賬戶,並向攻擊者自身的郵箱地址初始化了郵件更改請求。攻擊者隨後等待受害者索要賬戶,之後才完成郵件更改請求並獲得賬戶的所有權。
在研究中,研究人員檢查了名列 Alexa 前150名大流量域名的75家服務。至少35家服務受一個或多個賬戶預劫持攻擊的影響,包括 Dropbox、Instagram、LinkedIn、WordPress.com和Zoom。幸運的是,這些受影響服務均收到了漏洞通知並部署了必要的修複方案。
Paverd 和 Sudhodanan 表示,「我們認為缺少意識可能是這些潛在漏洞產生的主要原因。因此我們推出這項研究成果來提升意識並幫助組織機構緩解這些漏洞。」
研究人員認為,最重要的啟示是「驗證用戶實際擁有任何由用戶提供的標誌符(如郵箱地址或電話號碼),之後再去創建新賬戶或將其添加至現有賬戶」,這將緩解迄今為止識別出的所有預劫持攻擊類型。
研究人員在論文中提到了多個其它可能的縱深防禦戰略。他們推薦用戶儘可能啟用多因素認證機制,以此阻止他們所發現的多數預劫持攻擊。賬戶預劫持的另外一個跡象是收到並未自己創建的賬戶的郵件,用戶通常會忽略這一點。但實際上,研究人員指出,用戶「應當將此事報告給相關網站」。
https://portswigger.net/daily-swig/dozens-of-high-traffic-websites-vulnerable-to-account-pre-hijacking-study-finds
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表