Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Mag 24, 2022 Redazione news News, RSS, Vulnerabilità 0
Il ricercatore indipendente Avinash Sudhodanan e lo studioso del Microsoft Security Response Center Andrew Paverd hanno pubblicato uno studio sul pre-hijacking, o dirottamento preventivo, degli account degli utenti su una serie di popolari piattaforme.
Nell’ambito della ricerca sono stati analizzati 75 popolari servizi e almeno 35 di essi, tra cui Instagram, LinkedIn, Zoom, WordPress e Dropbox sono risultati vulnerabili al pre-hijacking.
Con questi attacchi, gli hacker possono prendere il controllo dell’account dell’utente prima ancora che questo lo crei. I cyber criminali sono poi in grado di leggerne e modificarne informazioni sensibili, tra cui la cronologia, i messaggi e i pagamenti.
Possono anche assumere l’identità dell’utente sulla piattaforma e compiere varie azioni, inviando per esempio messaggi e facendo acquisti con i metodi di pagamento salvati negli account. Ci sono diverse tecniche per fare il pre-hijacking e alcune di esse risultano completamente invisibili.
L’unica cosa di cui i pirati hanno bisogno è l’indirizzo email della vittima. Lo usano poi per creare un account su uno dei servizi vulnerabili. La vittima riceve una notifica dal sito, ma i cyber criminali fanno affidamento sul fatto che molti non la noteranno o la considereranno spam.
A questo punto gli hacker devono solo aspettare che l’utente effettivamente crei un account sulla piattaforma per poter sferrare l’attacco finale. Come anticipato, ci sono diverse tecniche.
Le cinque identificate dallo studio sono state definite come classic-federated merge (CFM), unexpired session (US) ID, trojan identifier (TID), unexpired email change (UEC) e non-verifying Identity provider (IdP) attack (NV).
Nel caso del CFM, che si può tradurre con “fusione dell’autenticazione classica e federata”, la piattaforma unisce il nuovo account a quello precedentemente creato dai pirati, a volte senza nemmeno notificare l’utente. Questo metodo fa affidamento sul fatto che la vittima usi il single-sign-on (SSO) e quindi non cambi la password del pirata.
Nell’attacco US, ossia sessione non scaduta, il pirata, dopo aver creato l’account, mantiene una sessione attiva con uno script automatizzato. Quando la vittima crea un account e resetta la password, la sessione attiva può non essere invalidata, lascando all’hacker l’accesso all’account.
Con il metodo TID, o dell’identificatore trojan, il pirata crea un account con l’email della vittima e lo associa al proprio single-sign-on. Quando la vittima resetta la password, l’hacker può ancora collegarsi con il login federato.
Con la tecnica UEC, ossia cambio inaspettato dell’email, il cyber criminale crea un account con l’email della vittima e poi sottopone una richiesta di cambio di email senza confermarla. Dopo che la vittima ha cambiato la password, il pirata conferma il cambiamento, prendendo controllo dell’account.
Nell’attacco NV, o di non-verifica del provider dell’identità, l’attaccante sfrutta l’assenza di un sistema di verifica del Provider di identità di terze parti usato nel single-sign-on durante la creazione dell’account. Questo crea la possibilità di sfruttare in modo malevolo servizi di login basati sul cloud come Okta e Onelogin.
Le vulnerabilità sono state rese note alle varie piattaforme e nel frattempo gli utenti, per difendersi, possono attivare l’autenticazione a due fattori. Il blog del Security Response Center di Microsoft ha inoltre pubblicato un post di approfondimento sul tema.
Giu 25, 2024 0
Mag 09, 2024 0
Apr 22, 2024 0
Mar 07, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...