Эксперты по кибербезопасности постоянно пытаются улучшить безопасность учетных записей пользователей . Эта задача может оказаться сложной, если пользователи не предпринимают основных шагов для защиты своих учетных записей. Недавний отчет показал, что наиболее часто используемыми паролями среди руководителей предприятий являются «123456» и «пароль». Однако даже учетные записи, защищенные надежными уникальными паролями и многофакторной аутентификацией, не являются пуленепробиваемыми. Злоумышленники по-прежнему могут использовать методы фишинга , вредоносное ПО и взломы системы для получения доступа к учетным записям пользователей.
В последние годы единый вход (SSO) стал довольно распространенным явлением, и сторонники утверждают, что он повышает безопасность. Система единого входа позволяет пользователям входить в несколько служб, используя одного и того же поставщика удостоверений (IdP), например Google, Facebook или Microsoft. Пользователи, которые входят в службы с единым входом, по-прежнему имеют отдельные учетные записи для этих служб, но они входят во все эти учетные записи, используя свои учетные данные пользователя для выбранного ими поставщика удостоверений, а не уникальные учетные данные для каждой учетной записи. SSO может повысить безопасность учетных записей пользователей за счет уменьшения усталости паролей; идея заключается в том, что лучше защитить учетные записи пользователей одним хорошо защищенным входом в систему, чем защищать их целой кучей слабых паролей. Однако система единого входа создает единую точку отказа для всех учетных записей, что может ослабить безопасность учетной записи.
Новое исследование показывает, что, помимо введения единой точки отказа, SSO имеет и другие потенциальные недостатки. Исследование, проведенное при поддержке Microsoft Security Response Center (MSRC), выявило пять различных методов, которые злоумышленники могут использовать для упреждающего захвата учетных записей пользователей с помощью единого входа. В отличие от более традиционных атак, когда субъект угрозы пытается получить доступ к уже существующей учетной записи пользователя, атаки перед захватом требуют, чтобы субъект угрозы выполнил действие до создания учетной записи, которое позволит субъекту угрозы получить доступ к учетной записи пользователя один раз. пользователь создает учетную запись. Ниже приведены пять различных методов атаки предварительного захвата учетной записи.
1 — Классическая федеративная атака слиянием
Злоумышленник создает классическую учетную запись в службе, используя адрес электронной почты жертвы. Позже жертва создает учетную запись в той же службе, используя SSO. Адрес электронной почты жертвы связан с IdP, используемым для SSO, поэтому служба автоматически объединяет учетные записи, созданные злоумышленником и жертвой, предоставляя злоумышленнику доступ к учетной записи жертвы.
2 — Атака с неистекшим идентификатором сеанса
Злоумышленник создает учетную запись в службе, используя адрес электронной почты жертвы, а затем поддерживает активный сеанс входа в учетную запись. Позже жертва пытается создать учетную запись в службе, но обнаруживает, что учетная запись уже существует, поэтому жертва сбрасывает пароль, чтобы получить доступ. Однако активный сеанс злоумышленника остается действительным после сброса пароля, что дает злоумышленнику доступ к учетной записи жертвы.
3 — Атака с использованием троянского идентификатора
Злоумышленник создает классическую учетную запись в службе, используя адрес электронной почты жертвы, а затем добавляет в учетную запись дополнительный идентификатор, например адрес электронной почты или номер телефона, контролируемый злоумышленником. Позже жертва пытается создать учетную запись в службе, но обнаруживает, что учетная запись уже существует, поэтому жертва сбрасывает пароль, чтобы получить доступ. Однако злоумышленник может использовать дополнительный идентификатор, связанный с учетной записью жертвы, для получения доступа, запросив одноразовую ссылку для входа.
4 — Атака с неистекшим изменением электронной почты
Злоумышленник создает учетную запись в службе, используя адрес электронной почты жертвы, затем изменяет адрес электронной почты, связанный с учетной записью, на адрес электронной почты, контролируемый злоумышленником, но не подтверждает изменение. Позже жертва пытается создать учетную запись в службе, но обнаруживает, что учетная запись уже существует, поэтому жертва сбрасывает пароль, чтобы получить доступ. Затем злоумышленник подтверждает изменение адреса электронной почты и получает доступ к учетной записи жертвы, запрашивая одноразовую ссылку для входа.
5 – Атака IdP без проверки
Злоумышленник создает учетную запись в службе, используя SSO. Злоумышленник создает учетную запись с IdP, связанным с адресом электронной почты жертвы. Позже жертва создает традиционную учетную запись в службе, но, поскольку адрес электронной почты жертвы уже связан с учетной записью, созданной злоумышленником, служба объединяет учетные записи, созданные злоумышленником и жертвой, предоставляя злоумышленнику доступ к учетной записи жертвы.
Исследователи кибербезопасности проанализировали 75 самых популярных веб-сайтов и онлайн-сервисов и обнаружили, что 35 из 75 были уязвимы по крайней мере для одного из методов атаки перед взломом. Среди уязвимых сервисов были Dropbox, Instagram, LinkedIn, WordPress . и Зум. Исследователи сообщили об этих уязвимостях затронутым веб-сайтам и службам за несколько месяцев до публикации исследования, чтобы эти компании и службы могли исправить уязвимости. Тем не менее, исследователи предупреждают, что многие другие веб-сайты и сервисы все еще могут быть уязвимы для этих атак, предшествующих захвату.
В сообщении в блоге MSRC об исследовании говорится, что все эти методы атаки «можно смягчить, если служба отправит электронное письмо с подтверждением на указанный пользователем адрес электронной почты и потребует завершения проверки, прежде чем разрешить какие-либо дальнейшие действия с учетной записью».