验证检查漏洞暴露
根据Microsoft Security Response Center(MSRC)支持的新研究,恶意演员甚至在受害者注册服务之前就可以将未经授权的在线帐户拥有。
被称为“帐户预算”,攻击涉及攻击者设定帐户接管的动力,然后受害者甚至在网上服务注册。受害人签署后,攻击者利用服务的身份验证机制中的安全孔来访问或拥有新创建的帐户的所有权。
这学习(PDF)发现数十种高流量服务很容易受到至少一种类型的临时攻击。该研究阐明了围绕帐户创建的安全问题,这是一个很少审查的问题。
多种方式预先建立帐户
这研究由MSRC在2020年初授予的身份项目研究赠款之一的支持。
“在这个项目中,我们探索了几个主题,但很快就注意到了围绕'预种行'威胁模型的模式,” MSRC的高级研究员安德鲁·帕弗(Andrew Paverd)和独立的研究员Avinash Sudhodanan告诉每日swbeplay2018官网ig。
帐户预种族假定受害者尚未在目标服务上有帐户,攻击者知道电子邮件以及受害者的其他基本细节。研究人员发现了五种类型的临时攻击场景。
有些人利用了许多在线服务支持的多个帐户创建模式。在许多网站上,用beplay体育能用吗户可以直接提供电子邮件地址和密码通过使用Facebook,Google和Microsoft等人提供的以消费者为中心的单一签名(SSO)服务来创建其帐户或使用联合身份验证。
不要忘记阅读安全“研究人员”反对恶意CTX文件上传的索赔
例如,在一种攻击中,攻击者使用受害者的电子邮件地址创建一个帐户。然后,受害人使用联邦方法创建一个帐户。在某些服务中,这将攻击者和受害者的帐户合并,使他们同时访问同一帐户。
在另一种类型的攻击中,攻击者与受害者的电子邮件创建了一个帐户,并将自己的联合身份与同一帐户联系起来。当受害者试图创建其帐户时,将提示他们重置密码。受害人将获得对帐户的访问,但是攻击者还将能够通过SSO身份访问该帐户。
研究人员说:“看到有多少个在线服务朝着单次签名迈进,这是非常积极的[],但这意味着他们可能必须支持多个登录机制。这本身不一定是一个问题,许多服务可以安全地做到这一点。
研究人员补充说:“我们的研究只是指出了一些微妙的陷阱,可以在支持多种登录机制时意识到。”
开关击球手
帕德(Paverd)和苏德霍丹(Sudhodanan)指出,他们发现的三项攻击不需要服务来支持多个登录机制。
例如,在一个方案中,即使受害者恢复其帐户并重置密码,攻击者的会话也可能保持活跃。
在另一种情况下,攻击者使用受害者的电子邮件创建一个帐户,并向攻击者自己的电子邮件地址发起电子邮件更改请求。然后,攻击者等待受害者在完成电子邮件更改请求并获得帐户所有权之前先索取帐户。
影响最高服务
在他们的研究中,研究人员研究了75个服务,这些服务跻身Alexa的前150名高流量领域列表之列。至少有35个受到一个或多个帐户预夸张攻击的影响,包括Dropbox,Instagram,LinkedIn,WordPress.com和Zoom。幸运的是,所有受影响的服务都已通知了这些漏洞,并实施了必要的修复。
“我们认为缺乏意识可能是这些潜在脆弱性的主要原因。因此,我们正在发布这项研究以提高认识并帮助组织缓解这些研究漏洞,” Paverd和Sudhodanan说。
研究人员总结说,最重要的收获是“验证用户实际上拥有任何用户供给的标识符(例如,电子邮件地址或电话号码),然后使用它们创建新帐户或将其添加到现有帐户中”。这将减轻迄今为止确定的所有类型的预种攻击。
研究人员的论文还描述了其他几种可能的防御策略。
他们建议用户启用多因素身份验证(MFA)只要可能,因为它停止了他们发现的大多数预种行攻击。
账户预算的另一个迹象是收到有关您未创建的帐户的电子邮件,用户通常会忽略哪些帐户。研究人员说:“将其报告给相关网站。”beplay体育能用吗
