Aggiornamenti recenti Giugno 27th, 2022 4:15 PM
Mag 24, 2022 Redazione news News, RSS, Vulnerabilità 0
Il ricercatore indipendente Avinash Sudhodanan e lo studioso del Microsoft Security Response Center Andrew Paverd hanno pubblicato uno studio sul pre-hijacking, o dirottamento preventivo, degli account degli utenti su una serie di popolari piattaforme.
Nell’ambito della ricerca sono stati analizzati 75 popolari servizi e almeno 35 di essi, tra cui Instagram, LinkedIn, Zoom, WordPress e Dropbox sono risultati vulnerabili al pre-hijacking.
Con questi attacchi, gli hacker possono prendere il controllo dell’account dell’utente prima ancora che questo lo crei. I cyber criminali sono poi in grado di leggerne e modificarne informazioni sensibili, tra cui la cronologia, i messaggi e i pagamenti.
Possono anche assumere l’identità dell’utente sulla piattaforma e compiere varie azioni, inviando per esempio messaggi e facendo acquisti con i metodi di pagamento salvati negli account. Ci sono diverse tecniche per fare il pre-hijacking e alcune di esse risultano completamente invisibili.
L’unica cosa di cui i pirati hanno bisogno è l’indirizzo email della vittima. Lo usano poi per creare un account su uno dei servizi vulnerabili. La vittima riceve una notifica dal sito, ma i cyber criminali fanno affidamento sul fatto che molti non la noteranno o la considereranno spam.
A questo punto gli hacker devono solo aspettare che l’utente effettivamente crei un account sulla piattaforma per poter sferrare l’attacco finale. Come anticipato, ci sono diverse tecniche.
Le cinque identificate dallo studio sono state definite come classic-federated merge (CFM), unexpired session (US) ID, trojan identifier (TID), unexpired email change (UEC) e non-verifying Identity provider (IdP) attack (NV).
Nel caso del CFM, che si può tradurre con “fusione dell’autenticazione classica e federata”, la piattaforma unisce il nuovo account a quello precedentemente creato dai pirati, a volte senza nemmeno notificare l’utente. Questo metodo fa affidamento sul fatto che la vittima usi il single-sign-on (SSO) e quindi non cambi la password del pirata.
Nell’attacco US, ossia sessione non scaduta, il pirata, dopo aver creato l’account, mantiene una sessione attiva con uno script automatizzato. Quando la vittima crea un account e resetta la password, la sessione attiva può non essere invalidata, lascando all’hacker l’accesso all’account.
Con il metodo TID, o dell’identificatore trojan, il pirata crea un account con l’email della vittima e lo associa al proprio single-sign-on. Quando la vittima resetta la password, l’hacker può ancora collegarsi con il login federato.
Con la tecnica UEC, ossia cambio inaspettato dell’email, il cyber criminale crea un account con l’email della vittima e poi sottopone una richiesta di cambio di email senza confermarla. Dopo che la vittima ha cambiato la password, il pirata conferma il cambiamento, prendendo controllo dell’account.
Nell’attacco NV, o di non-verifica del provider dell’identità, l’attaccante sfrutta l’assenza di un sistema di verifica del Provider di identità di terze parti usato nel single-sign-on durante la creazione dell’account. Questo crea la possibilità di sfruttare in modo malevolo servizi di login basati sul cloud come Okta e Onelogin.
Le vulnerabilità sono state rese note alle varie piattaforme e nel frattempo gli utenti, per difendersi, possono attivare l’autenticazione a due fattori. Il blog del Security Response Center di Microsoft ha inoltre pubblicato un post di approfondimento sul tema.
Apr 25, 2022 0
Mar 11, 2022 0
Feb 11, 2022 0
Feb 02, 2022 0
Giu 27, 2022 0
Giu 27, 2022 0
Giu 27, 2022 0
Giu 24, 2022 0
Mar 11, 2022 0
Il ransomware è un flagello che sta colpendo le aziende di...Mar 10, 2022 0
Il ransomware è una tipologia d’attacco di cui...Mar 09, 2022 0
Non c’è quasi utente di computer che non abbia sentito...Mar 08, 2022 0
Il ransomware è una vera e propria piaga...Ott 22, 2021 0
Il ruolo dei sistemi di tracciamento delle attività...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Giu 27, 2022 0
Una ricerca indica che l’APT Bronze Starlight, legato...Giu 27, 2022 0
Una nuova tecnica di phishing può sfruttare le...Giu 27, 2022 0
Microsoft Italia ha lanciato un piano di training e...Giu 24, 2022 0
Uno studio di Kasperski ha analizzato come e a che...Giu 24, 2022 0
Uno studio svizzero ha dimostrato la possibilità di...Una ricerca indica che l’APT Bronze Starlight, legato alla Cina,... Continua →