Aggiornamenti recenti Dicembre 12th, 2024 4:12 PM
Mag 24, 2022 Redazione news News, RSS, Vulnerabilità 0
Il ricercatore indipendente Avinash Sudhodanan e lo studioso del Microsoft Security Response Center Andrew Paverd hanno pubblicato uno studio sul pre-hijacking, o dirottamento preventivo, degli account degli utenti su una serie di popolari piattaforme.
Nell’ambito della ricerca sono stati analizzati 75 popolari servizi e almeno 35 di essi, tra cui Instagram, LinkedIn, Zoom, WordPress e Dropbox sono risultati vulnerabili al pre-hijacking.
Con questi attacchi, gli hacker possono prendere il controllo dell’account dell’utente prima ancora che questo lo crei. I cyber criminali sono poi in grado di leggerne e modificarne informazioni sensibili, tra cui la cronologia, i messaggi e i pagamenti.
Possono anche assumere l’identità dell’utente sulla piattaforma e compiere varie azioni, inviando per esempio messaggi e facendo acquisti con i metodi di pagamento salvati negli account. Ci sono diverse tecniche per fare il pre-hijacking e alcune di esse risultano completamente invisibili.
L’unica cosa di cui i pirati hanno bisogno è l’indirizzo email della vittima. Lo usano poi per creare un account su uno dei servizi vulnerabili. La vittima riceve una notifica dal sito, ma i cyber criminali fanno affidamento sul fatto che molti non la noteranno o la considereranno spam.
A questo punto gli hacker devono solo aspettare che l’utente effettivamente crei un account sulla piattaforma per poter sferrare l’attacco finale. Come anticipato, ci sono diverse tecniche.
Le cinque identificate dallo studio sono state definite come classic-federated merge (CFM), unexpired session (US) ID, trojan identifier (TID), unexpired email change (UEC) e non-verifying Identity provider (IdP) attack (NV).
Nel caso del CFM, che si può tradurre con “fusione dell’autenticazione classica e federata”, la piattaforma unisce il nuovo account a quello precedentemente creato dai pirati, a volte senza nemmeno notificare l’utente. Questo metodo fa affidamento sul fatto che la vittima usi il single-sign-on (SSO) e quindi non cambi la password del pirata.
Nell’attacco US, ossia sessione non scaduta, il pirata, dopo aver creato l’account, mantiene una sessione attiva con uno script automatizzato. Quando la vittima crea un account e resetta la password, la sessione attiva può non essere invalidata, lascando all’hacker l’accesso all’account.
Con il metodo TID, o dell’identificatore trojan, il pirata crea un account con l’email della vittima e lo associa al proprio single-sign-on. Quando la vittima resetta la password, l’hacker può ancora collegarsi con il login federato.
Con la tecnica UEC, ossia cambio inaspettato dell’email, il cyber criminale crea un account con l’email della vittima e poi sottopone una richiesta di cambio di email senza confermarla. Dopo che la vittima ha cambiato la password, il pirata conferma il cambiamento, prendendo controllo dell’account.
Nell’attacco NV, o di non-verifica del provider dell’identità, l’attaccante sfrutta l’assenza di un sistema di verifica del Provider di identità di terze parti usato nel single-sign-on durante la creazione dell’account. Questo crea la possibilità di sfruttare in modo malevolo servizi di login basati sul cloud come Okta e Onelogin.
Le vulnerabilità sono state rese note alle varie piattaforme e nel frattempo gli utenti, per difendersi, possono attivare l’autenticazione a due fattori. Il blog del Security Response Center di Microsoft ha inoltre pubblicato un post di approfondimento sul tema.
Nov 18, 2024 0
Ott 15, 2024 0
Set 09, 2024 0
Giu 25, 2024 0
Dic 12, 2024 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 12, 2024 0
Il team di sicurezza di Oasis ha scoperto una...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...