Ecco un esempio di attacco Pre-Hijacking for proteggersi al meglio

Практическое руководство Microsoft для использования Pre-Hijacking для защиты от хакеров и защиты от атак

Microsoft опубликовала отчет с подробной информацией о том, как хакер компилятор атакует до угона, что позволяет получить доступ к веб-аккаунту без права доступа к учетной записи, которая может быть завершена для регистрации в сервисе. В отчете содержится точный анализ 75 популярных сайтов, из которых следует, что на 50 % были поставлены вопросы (35), которые являются уязвимыми в отношении Questa tipologia di attacco.

L’accesso avviene creando un account usando l’email dell’utente vittima, accedendo al suo account e completando la registrazione. Ecco как agiscono в деттаглио гли хакер с tutti я passaggi spiegati в деттаглио. Inoltre аль фондо trovate alcuni spunti su приходят proteggervi.

Ecco un esempio di attacco Pre-Highjacking

1. Классическая федеративная атака слиянием представляет собой мощную уязвимость для взаимодействия между классическими и федеративными классическими средствами для создания учетной записи. L’attaccante utilizza l’indirizzo электронная почта делла vittima для создания учетной записи Tramit il Percorso Classico е ла vittima креа преемственности ООН учетная запись Tramit il percorso federato, utilizzando lo stesso indirizzo электронной почты. Se il servizio unisce questi должной учетной записи in modo non sicuro, la vittima e l’aggressore potrebbero avere accesso allo stesso account.

2. Атака на идентификатор сеанса с неистекшим сроком действия является уязвимостью, связанной с аутентификацией без отключения от учетной записи, которая не может восстановить пароль. L’attaccante crea un account utilizzando l’indirizzo e-mail della vittima e quindi mantiene una sessione attiva. Quando la vittima recupera l’account, l’attaccante potrebbe ancora avere accesso se la reimpostazione della password non ha invalidato la sessione dell’attaccante.

3. Атака на идентификаторы троянских программ позволяет активировать набор идентификаторов, используя учетную запись, созданную с использованием классического имени и пароля. L’attaccante crea un account utilizzando l’indirizzo e-mail della vittima e quindi aggiunge un identificatore aggiuntivo (ad es. l’identità federata dell’attaccante или un altro indirizzo e-mail o numero di telefono controllato dall’attaccante) all’ учетная запись. Quando la vittima reimposta la password, l’attaccante può utilizzare l’identificatore inserito per accedere all’account (ad esempio reimpostando la password or richiedendo un collegamento di accesso una tantum).

4. Атака на изменение адреса электронной почты с неистекшим сроком действия представляет собой потенциальную уязвимость в сервисе, не являющемся недействительным для URL-адреса с функциональной модификацией электронной почты, которая позволяет восстановить пароль. L’attaccante crea un account utilizzando l’indirizzo e-mail della vittima e inizia il processo di modifica dell’indirizzo e-mail dell’account in modo che sia l’indirizzo e-mail dell’attaccante. Приходите часть этого процесса, il servizio in genere invia un URL di verifica all’indirizzo e-mail dell’attaccante, ma l’attaccante non conferma ancora la modifica. Dopo che la vittima ha recuperato l’account e ha iniziato a utilizzarlo, l’attaccante completa il processo di modifica dell’e-mail per acceptre il controllo dell’account.

5. Non-Verifying IdP Attack является атакой и представляет собой отражение атаки классического федерального вторжения. L’autore dell’attacco sfrutta un IdP che non verifica la proprietà di un dirizzo e-mail во время создания федеративной идентификации. Используйте этот IdP non verificante, активируйте учетную запись с службой назначения и посетите эту учетную запись, используя классическую учетную запись. Se il servizio combina erroneamente questi due account in the base all’indirizzo e-mail, l’attaccante sarà in grado di accedere all’account della vittima.

Приходите difendersi da questi attacchi

Reimpostare la password quando la password dell’account viene reimpostata, il servizio deve eseguire le seguenti azioni

  1. Disconnetters da tutte le altre sessioni e invalidare tutti gli altri token di autenticazione per quell’account per mitigare l’attacco della sessione non scaduta.
  2. Annullare tutte le azioni di modifica dell’e-mail in sospeso per quell’account per mitigare l’attacco di modifica dell’e-mail non scaduta.
  3. Avvisare l’utente di quali identità, indirizzi электронная почта e numeri di phone sono collegati all’account e chiedere all’utente di selezionare eventuali identificatori che non riconoscono o più Preferribilmente, di selezionare quali da conservare.

Unire diversi account quando un servizio unisce un account creato Tramit il percorso classico con uno creato Tramit il percorso federato (o viceversa), il servizio deve garantire che l’utente controlli entrambi gli account. Ad esempio, quando l’utente tenta di creare un account Tramit il percorso federato ma esiste già un account classico per lo stesso indirizzo e-mail, all’utente dovrebbe essere richiesto di fornire le credenziali или di reimpostare la password per l’account.

Предоставление модификации электронной почты, которая является службой, выполняющей функции для предоставления модификации электронной почты (например, код или URL-адрес с токеном аутентификации, включенным), период действия действительной функции, установленной для проверки подлинности il più basso possibile, entro i limiti dell’usabilità, per ridurre al minimo la finestra di vulnerabilità для l’attacco Unexpired Email Change. Tuttavia, ciò non impedirà all’attaccante di richiedere continuamente nuove funzionalità, quindi il servizio dovrebbe limitare il numero di volte in cui una nuova funzionalità può essere richiesta per un identificatore non verificato.

Удалите учетную запись без проверки l’eliminazione regolare degli account non verificati ridurrebbe la Finestra di Vulnerabilità для большей части degli attacchi di pre-hijacking (ad eccezione dell’attacco IdP non verificato). Tuttavia, cò non impedirà a un utente malintenzionato di creare nuovi account con gli stessi identificatori. Il servizio dovrebbe quindi monitorare e potenzialmente limitare il numero di volte in cui è possibile creare un nuovo account per lo stesso identificatore non verificato. Tuttavia, этот запрос необходимо использовать для установки атаки на отказ в обслуживании (DoS) esaurendo la quota di creazione dell’account degli identificatori degli utenti legittimi. Pertanto, il servizio potrebbe invece ridurre la soglia di eliminazione degli account non verificati e sfruttare i framework di rilevamento dei bot per limitare la velocità con cui l’attaccante può creare Automaticamente nuovi account.

Autenticazione a più fattori (MFA) gli utenti possono proteggersi dagli attacchi di pre-hijacking attivando l’MFA sui propri account il prima possibile. L’autenticazione più fattori correttamente impedirà all’attaccante di autenticarsi su un account pre-dirottato dopo che la vittima ha iniziato to utilizzare questo account. Il servizio deve inoltre disabledare tutte le sessioni create prima dell’attivazione di MFA to prevenire l’attacco Unexpired Session.

С помощью, ФОНТЕ

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.