Aggiornamenti recenti Settembre 25th, 2023 2:00 PM
Mag 24, 2022 Redazione news News, RSS, Vulnerabilità 0
Il ricercatore indipendente Avinash Sudhodanan e lo studioso del Microsoft Security Response Center Andrew Paverd hanno pubblicato uno studio sul pre-hijacking, o dirottamento preventivo, degli account degli utenti su una serie di popolari piattaforme.
Nell’ambito della ricerca sono stati analizzati 75 popolari servizi e almeno 35 di essi, tra cui Instagram, LinkedIn, Zoom, WordPress e Dropbox sono risultati vulnerabili al pre-hijacking.
Con questi attacchi, gli hacker possono prendere il controllo dell’account dell’utente prima ancora che questo lo crei. I cyber criminali sono poi in grado di leggerne e modificarne informazioni sensibili, tra cui la cronologia, i messaggi e i pagamenti.
Possono anche assumere l’identità dell’utente sulla piattaforma e compiere varie azioni, inviando per esempio messaggi e facendo acquisti con i metodi di pagamento salvati negli account. Ci sono diverse tecniche per fare il pre-hijacking e alcune di esse risultano completamente invisibili.
L’unica cosa di cui i pirati hanno bisogno è l’indirizzo email della vittima. Lo usano poi per creare un account su uno dei servizi vulnerabili. La vittima riceve una notifica dal sito, ma i cyber criminali fanno affidamento sul fatto che molti non la noteranno o la considereranno spam.
A questo punto gli hacker devono solo aspettare che l’utente effettivamente crei un account sulla piattaforma per poter sferrare l’attacco finale. Come anticipato, ci sono diverse tecniche.
Le cinque identificate dallo studio sono state definite come classic-federated merge (CFM), unexpired session (US) ID, trojan identifier (TID), unexpired email change (UEC) e non-verifying Identity provider (IdP) attack (NV).
Nel caso del CFM, che si può tradurre con “fusione dell’autenticazione classica e federata”, la piattaforma unisce il nuovo account a quello precedentemente creato dai pirati, a volte senza nemmeno notificare l’utente. Questo metodo fa affidamento sul fatto che la vittima usi il single-sign-on (SSO) e quindi non cambi la password del pirata.
Nell’attacco US, ossia sessione non scaduta, il pirata, dopo aver creato l’account, mantiene una sessione attiva con uno script automatizzato. Quando la vittima crea un account e resetta la password, la sessione attiva può non essere invalidata, lascando all’hacker l’accesso all’account.
Con il metodo TID, o dell’identificatore trojan, il pirata crea un account con l’email della vittima e lo associa al proprio single-sign-on. Quando la vittima resetta la password, l’hacker può ancora collegarsi con il login federato.
Con la tecnica UEC, ossia cambio inaspettato dell’email, il cyber criminale crea un account con l’email della vittima e poi sottopone una richiesta di cambio di email senza confermarla. Dopo che la vittima ha cambiato la password, il pirata conferma il cambiamento, prendendo controllo dell’account.
Nell’attacco NV, o di non-verifica del provider dell’identità, l’attaccante sfrutta l’assenza di un sistema di verifica del Provider di identità di terze parti usato nel single-sign-on durante la creazione dell’account. Questo crea la possibilità di sfruttare in modo malevolo servizi di login basati sul cloud come Okta e Onelogin.
Le vulnerabilità sono state rese note alle varie piattaforme e nel frattempo gli utenti, per difendersi, possono attivare l’autenticazione a due fattori. Il blog del Security Response Center di Microsoft ha inoltre pubblicato un post di approfondimento sul tema.
Lug 19, 2023 0
Giu 30, 2023 0
Mag 05, 2023 0
Apr 18, 2023 0
Set 25, 2023 0
Set 25, 2023 0
Set 22, 2023 0
Set 22, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 25, 2023 0
Il team di sicurezza di Sonatype ha individuato unaSet 25, 2023 0
SentinelLabs e QGroup GmbH hanno individuato un nuovo...Set 22, 2023 0
Signal Foundation, l’azienda dietro l’omonima...Set 22, 2023 0
GitLab ha rilasciato due patch urgenti per risolvere una...Set 21, 2023 0
Nel corso di Innovation 2023, Intel ha annunciato il...