0
0
Contas online sendo sequestradas e mal utilizadas é uma ocorrência cotidiana, mas você sabia que ataques pré-seqüestramento de contas também são possíveis?
Inspirados por pesquisas anteriores sobre sequestro de contas preventivas por meio da tecnologia de login único (SSO), os pesquisadores Avinash Sudhodanan e Andrew Paverd queriam ver se uma ação de um invasor realizada antes de uma vítima criar uma conta pode permitir que o primeiro tenha acesso a ela uma vez que a vítima tenha criado/recuperado a conta.
Depressivamente, eles descobriram que não só existem várias maneiras de um ataque pré-seqüestro de conta pode ser montado, mas também que dos 75 sites populares e serviços online que eles testaram, pelo menos 35 deles eram vulneráveis a uma ou mais variantes. Entre eles estavam Instagram, LinkedIn, Dropbox, Zoom e WordPress.com.
O que torna possível ataques de pré-seqüestro de contas?
As falhas de segurança exploráveis surgem em parte porque muitos serviços suportam (pelo menos) duas rotas diferentes para a criação de contas: o “clássico” (nome de usuário/senha) e a rota federada (SSO através de um Provedor de Identidade, por exemplo, “Faça login com a Microsoft/Google/LinkedIn/etc.”)
“Fundamentalmente, a causa principal das vulnerabilidades de pré-seqüestro da conta é que o serviço não consegue verificar se o usuário realmente possui o identificador fornecido (por exemplo, endereço de e-mail ou número de telefone) antes de permitir o uso da conta”, explicou Paverd.
“Embora muitos serviços exijam verificação de identificadores, muitas vezes o fazem de forma assíncrola, permitindo que o usuário (ou invasor) use certos recursos da conta antes que o identificador seja verificado. Embora isso possa melhorar a usabilidade, cria uma janela de vulnerabilidade para ataques pré-seqüestradores.”
O pesquisador identificou cinco tipos de ataques pré-seqüestramento:
Ataque de mesclagem clássico-federado:
Usando o endereço de e-mail da vítima, o invasor cria uma conta através da rota “clássica” -> A vítima mais tarde cria uma conta através da rota “federada” (usando o mesmo endereço de e-mail) -> O serviço mescla essas duas contas de forma insegura, e o invasor ainda tem acesso à conta.
Ataque de identificador de sessão não expirado:
Usando o endereço de e-mail da vítima, o invasor cria uma conta através da rota “clássica” e mantém uma sessão ativa de longo prazo – > A vítima “recupera” a conta usando o mesmo endereço de e-mail -> O invasor mantém o acesso à conta se a redefinição da senha não invalidar a sessão do invasor.
Ataque do identificador de trojan:
Usando o endereço de e-mail da vítima, o invasor cria uma conta através da rota “clássica” -> O invasor adiciona um identificador de trojan (por exemplo, a identidade federada do invasor ou outro endereço de e-mail ou número de telefone controlado pelo invasor) à conta -> Quando a vítima redefinir a senha, o invasor pode usar este identificador de trojan para recuperar o acesso à conta (por exemplo, redefinindo a senha).
Ataque de alteração de e-mail não expirado:
O invasor cria uma conta usando o endereço de e-mail da vítima e inicia o processo de alteração do endereço de e-mail da conta para o próprio endereço de e-mail do invasor -> O serviço envia uma URL de verificação para o endereço de e-mail do invasor, mas o invasor confirma a alteração somente depois que a vítima recuperou a conta e começou a usá-la.
Ataque IdP não-verificativo:
O invasor aproveita um IdP que não verifica a propriedade de um endereço de e-mail ao criar uma identidade federada -> O invasor cria uma conta com o serviço de destino e espera que a vítima crie uma conta usando a rota “clássica” -> Se o serviço fundir incorretamente as duas contas com base no endereço de e-mail, o agressor pode acessar a conta da vítima.
Para todos esses ataques, o invasor teria que conhecer/descobrir o endereço de e-mail do alvo – um feito relativamente fácil nesta era digital – e identificar serviços nos quais a vítima não tem uma conta (mas é provável que crie uma no futuro).
“O invasor pode observar um aumento geral na popularidade de um serviço (por exemplo, um serviço de videoconferência quando as pessoas são obrigadas a trabalhar em casa) e contas de pré-seqüestro para esse serviço usando endereços de e-mail encontrados através de raspagem de sites ou despejos de credenciais”, explicou.
Ou, como outro exemplo, um invasor pode atingir um “influenciador” de mídia social com uma forte presença em uma plataforma e pré-seqüestrar sua conta em outra plataforma de mídia social que está rapidamente se tornando a “próxima grande coisa”.
O que os serviços online e os usuários finais podem fazer?
Os pesquisadores notificaram os 35 serviços online das vulnerabilidades encontradas, e confirmaram que os serviços online nomeados os fixaram. Espera-se que os outros também tenham, ou estejam em processo de fazê-lo.
“No entanto, é altamente provável que outros sites e serviços on-line, além dos 75 analisados, também sejam vulneráveis a esses ataques”, disse Paverd, e detalhou várias medidas de segurança de defesa para a criação de contas que eles podem implementar para garantir que esses ataques não possam ser realizados.
Os usuários finais também podem fazer algo para se proteger de ataques pré-seqüestradores: eles podem habilitar a autenticação multifatorial (MFA) em suas contas assim que os criam.
“O MFA implementado corretamente impedirá que o invasor se afirme para uma conta pré-sequestrada depois que a vítima começar a usar essa conta. O serviço também deve invalidar quaisquer sessões criadas antes da ativação do MFA para evitar o ataque de Sessão Não Expirada”, concluiu Paverd.
FONTE: HELPNET SECURITY