Güvenlik araştırmacıları, bilgisayar korsanlarının, Instagram, LinkedIn, Zoom, WordPress ve Dropbox dahil olmak üzere popüler web sitelerinde zaten düzeltilmiş kusurları kullanarak kayıt yaptırmadan önce çevrimiçi hesaplarınızı ele geçirebileceğini açıkladı.
Microsoft Güvenlik Müdahale Merkezi'nde araştırmacı Andrew Paverd ve bağımsız bir güvenlik araştırmacısı olan Avinash Sudhodanan, 75 popüler çevrimiçi hizmeti analiz etti ve en az 35'inin HiJacking Öncesi saldırılarına karşı savunmasız olduğunu buldu.
Bu saldırılar tür ve ciddiyet bakımından değişir, ancak hepsi web sitelerinin yan tarafındaki kötü güvenlik uygulamalarından kaynaklanmaktadır.
Bazı savunmasız web siteleri hata ödül programları çalıştırdıkça, bu tür temel saldırıların kullanıcılarına karşı hala mümkün olduğunu görmek şaşırtıcı ve endişe vericidir.
"Hesap ön hiJacking saldırılarının etkisi, hesap kaçırma ile aynıdır. Hedef hizmetin niteliğine bağlı olarak, başarılı bir saldırı saldırganın hesapla ilişkili hassas bilgileri okumasına/değiştirmesine izin verebilir (örneğin, mesajlar, faturalandırma ifadeler, kullanım geçmişi, vb.) veya mağdurun kimliğini kullanarak eylemler gerçekleştirin (örneğin, sahte mesajlar gönderin, kaydedilmiş ödeme yöntemlerini kullanarak satın alma yapın, vb.). " - A. Paverd, A. Sudhodanan.
Bir hiJacking saldırısı için çalışması için, bilgisayar korsanının bir hedefin e-posta adresini bilmesi gerekir, bu da e-posta yazışmaları yoluyla veya şirketleri günlük olarak rahatsız eden çok sayıda veri ihlali yoluyla nispeten kolaydır.
Ardından, bir saldırgan, hedefin e -posta adresini kullanarak savunmasız bir sitede bir hesap oluşturur ve kurbanın, spam olarak görerek gelen kutusuna gelen bildirimi reddetmesini umar. Son olarak, saldırgan kurbanın sitede bir hesap oluşturmasını bekler ya da dolaylı olarak onları yapmaya kandırır.
Bu süreçte, tehdit aktörlerinin yapabileceği beş farklı saldırı, yani Klasik Federasyonlu Birleştirme (CFM), Buluşmamış Oturum (ABD) Kimliği, Truva Alanı Tanımlayıcısı (TID), Beklenmemiş E-posta Değişikliği (UEC) ve Doğrulamayan Kimlik Sağlayıcı (IDP) Saldırısı (NV).
İlk durumda, CFM, savunmasız platform, hedef mevcut bir e -posta adresine sahip bir hesap oluşturduğunda ve bazı durumlarda bunları gerçek hakkında bile bilgilendirmediğinde hesap birleştirme kullanır. Bu saldırı, kurbana tek sinyal (SSO) seçeneği vermeye dayanır, böylece saldırgan tarafından belirlenen şifreyi asla değiştirmezler.
Beklenmedik oturum saldırısında, bilgisayar korsanı, otomatik bir komut dosyası kullanarak hesabı oluşturduktan sonra oturumu aktif tutar. Mağdur bir hesap oluşturduğunda ve şifreyi sıfırladığında, aktif oturum geçersiz kılınmayabilir, böylece saldırgan hesaba erişmeye devam edebilir.
Trojan tanımlayıcı yöntemi, klasik tarafından beslenen birleştirme ve süresiz oturum saldırılarını birleştirir.
"Saldırgan, kurbanın e-posta adresini kullanarak önceden hiJacked bir hesap oluşturur, ancak daha sonra hesabı federasyonlu kimlik doğrulaması için saldırganın IDP hesabı ile ilişkilendirir. Mağdur parolayı sıfırladığında (beklenmedik oturum saldırısında olduğu gibi), saldırgan yine de erişebilir. Federasyonlu Kimlik Doğrulama Rotası aracılığıyla hesaplayın, "diye açıklıyor makalede.
UEC saldırısında, saldırgan kurbanın e -posta adresini kullanarak bir hesap oluşturur ve ardından bu e -posta için bir değişiklik isteği gönderir, ancak onaylamaz. Ardından, mağdur şifre sıfırlamasını gerçekleştirdikten sonra, saldırgan değişikliği doğrular ve hesabın kontrolünü üstlenir.
Son olarak, NV saldırısında, tehdit oyuncusu, hesabı oluştururken bir IDP'nin sahipliğini doğrulama eksikliğinden yararlanır ve Okta ve Onelogin gibi bulut tabanlı giriş hizmetlerini kötüye kullanmanın yolunu açar.
Bugün birçok hizmet, yeni kullanıcıların e -posta adresinin sahipliğini doğrulamasını gerektirir, bu nedenle diğer kişilerin e -posta adresleriyle yeni hesaplar oluşturmak e -posta hesabına erişmeden çalışmaz.
Bunu atlamak için saldırgan, e -posta adreslerini kullanarak hesabı oluşturabilir ve ardından kurbanın e -posta adresine geçerek çoğu çevrimiçi hizmette bulunan standart bir işlevi kötüye kullanabilir.
Bazı durumlarda, hizmet yeni e -posta adresi için ikinci bir doğrulama gerektirmeyecek ve tehdit aktörlerinin yukarıda açıklanan saldırıları monte etmesine izin verecektir.
Çalışma, farklı saldırıların mevcudiyetinin benzer olduğunu, beklenmedik oturum sorununun sınırlı veri kümesinde en yaygın olduğunu göstermektedir.
Savunmasız platformların bazı önemli örnekleri Dropbox (UEC), Instagram (TID), LinkedIn (ABD), WordPress.com (ABD ve UEC) ve Zoom (CFM ve NV).
Araştırmacılar, bu sorunları platformlara sorumlu bir şekilde bildirdiler, bunların çoğu onları yüksek ciddiyet olarak kategorize ettikten sonra düzeltti.
Bununla birlikte, bu bulguların sadece bir avuç site ile ilgili olduğunu ve benzer berbat güvenlik uygulamalarını takip eden çok daha fazlası olması çok önemlidir.
Bu güvenlik sorunlarının alt kategorisi ve belirlenen güvenlik açıklarının temel nedeni ile ilgili ana sorun, katı doğrulama eksikliğidir.
Analistlerin açıkladığı gibi, bu kusurlu sistemlerin arkasındaki neden, tüm çevrimiçi platformların kayıt sırasında hesap güvenliği üzerinde olumsuz bir etkisi olan sürtünmeyi en aza indirmek istemesidir.
Önceden HiJacked hesapları riski ile başa çıkmak için kullanıcılar, hesaplarına hemen MFA (çok faktörlü kimlik doğrulama) ayarlayabilir ve bu da önceki tüm oturumları geçersiz kılınmaya zorlamalıdır.
GÜNCELLEME 24/5/22: Microsoft'un Güvenlik Müdahale Merkezi, İnternet kullanıcıları için bazı önemli hesap güvenlik tavsiyeleri sunan araştırma makalesinde bir parça yayınladı.
Sahte Windows, Cobalt Strike ile Hedef Infosec topluluğundan yararlanıyor
Rus hackerlar Avusturya, Estonya'ya karşı keşif yapıyor
Lazarus Hackers, Log4Shell istismarlarıyla VMware sunucularını hedef
NVIDIA, Windows GPU ekran sürücülerinde on güvenlik açığını düzeltir
Üçüncü taraf web izleyicileri, göndermeden önce yazdıklarınızı günlüğe kaydetti
Kaynak: Bleeping Computer