Хакеры могут взломать учетную запись еще до ее создания

Как выяснили исследователи безопасности, хакеры могут взломать учетную запись еще до того, как пользователь ее зарегистрирует. Для этого достаточно лишь проэксплуатировать уязвимости на таких популярных сайтах, как Instagram (запрещена в РФ), LinkedIn, Zoom, WordPress и Dropbox.

Специалист Microsoft Security Response Center Эндрю Паверд (Andrew Paverd) и независимый исследователь безопасности Авинаш Судходанан (Avinash Sudhodanan) изучили 75 популярных online-сервисов и как минимум на 35 из них обнаружили уязвимости, позволяющие взламывать аккаунты еще до их регистрации.

«Последствия предварительного взлома учетной записи такие же, как и последствия самого взлома. В зависимости от атакуемого устройства успешно проведенная атака может позволить злоумышленнику читать/модифицировать чувствительную информацию, связанную с учетной записью (сообщения, выписки по счетам, историю использования и пр.) и выполнять действия от лица пользователя (рассылать сообщения, делать покупки с помощью сохраненных способов оплаты и пр.)», - сообщил Судходанан.

Для предварительного взлома атакующий должен знать электронный адрес жертвы, достать который в наше время довольно просто. Далее с помощью этого адреса злоумышленник создает учетную запись на уязвимом сайте и надеется на то, что жертва пропустит уведомление об этом в своей электронной почте, приняв его за спам. Затем он ждет, что жертва сама решит зарегистрироваться на этом сайте или обманом вынуждает ее это сделать.

Существует пять разных атак, которые злоумышленник может осуществить в данном случае: слияние аккаунтов (classic-federated merge, CFM), неистекший сеанс (unexpired session, US), троянский идентификатор (trojan identifier, TID), изменение неистекшего электронного адреса (unexpired email change, UEC) и отсутствие проверки провайдера личности (non-verifying Identity provider (IdP), NV).

В случае с CFM, когда жертва создает учетную запись с уже зарегистрированным адресом электронной почты, уязвимый сайт просто объединяет эти два аккаунта и в некоторых случаях даже не сообщает об этом. Атака базируется на предоставлении жертве возможности авторизации через single-sign-on (SSO), чтобы она не меняла пароль, установленный хакером.

В случае с неистекшим сеансом после создания учетной записи злоумышленник сохраняет сеанс активным с помощью автоматизированного скрипта. Когда жертва регистрирует учетную запись и сбрасывает пароль, активный сеанс не сбрасывается, и хакер сохраняет себе доступ к аккаунту.

Метод с использованием троянского идентификатора представляет собой комбинацию из первого и второго способа.

«Атакующий регистрирует учетную запись на электронную почту жертвы, но затем связывает ее со своим аккаунтом IdP для федеративной аутентификации. Когда жертва сбрасывает пароль (как в случае с неистекшим сеансом), у атакующего по-прежнему сохраняется доступ к аккаунту через федеративную аутентификацию», - пояснили исследователи.

Атака UEC предполагает регистрацию учетной записи на электронный адрес жертвы, после чего злоумышленник отправляет запрос на смену электронной адреса, но не подтверждает его. После того, как жертва сбросит пароль, атакующий подтверждает изменение и получает доступ к учетной записи.

В атаке NV злоумышленник пользуется отсутствием в процессе регистрации аккаунта проверки владельца IdP. Благодаря этому он может воспользоваться облачными сервисами авторизации наподобие Okta или Onelogin.