Actualités

“Nous avons constaté qu’au moins 35 d’entre eux étaient vulnérables à une ou plusieurs attaques” : mise en lumière par Microsoft de cinq vulnérabilités permettant un pre-piratage de compte-utilisateur !

L’équipe de MSRC (Microsoft Security Response Center), entre Janvier 2021 et Juin 2021, a analysé 75 services ou sites Web les plus prisés ou populaires (classement Alexa) ; résultat : au moins 35 d’entres eux étaient pre-disposés potentiellement à une cyber-attaque par pre-piratage de compte…

 

 

Nous montrons qu’il existe une classe entière de attaques de pré-piratage de compte, qui permettent finalement à un attaquant de prendre le contrôle du compte d’une victime. Nous décrivons cinq attaques spécifiques. Pour mesurer la prévalence de ces vulnérabilités dans la nature, nous avons analysé les 75 services les plus populaires sur la base du classement mondial Alexa. Nous avons constaté qu’au moins 35 d’entre eux étaient vulnérables à une ou plusieurs attaques de pré-piratage, y compris des services majeurs tels que Dropbox, Instagram, LinkedIn, WordPress.com et Zoom“, indiquent Avinash Sudhodanan (chercheur indépendant) et Andrew Paverd (MSRC), dans un papier technique et PoC divulgué en primeur le 20 Mai 2022.

 

Faisant partie d’un des deux travaux de l’Identity Project Research Grants (dont les subventions-financements ont été déclenchés à partir de 2020), cette mise en lumière concerne le pre-piratage de compte : ce terme est relatif à la situation où l’utilisateur, hors cas de création de compte ou de connexion classique à son compte, voit sa connexion détournée depuis son adresse-mail, avant-même, donc, qu’il puisse effectuer l’action d’authentification. “Si l’attaquant peut créer un compte sur un service cible en utilisant l’adresse e-mail de la victime avant que la victime ne crée un compte, l’attaquant pourrait alors utiliser diverses techniques pour mettre le compte dans un état pré-piraté. Une fois que la victime a récupéré l’accès et commencé à utiliser le compte, l’attaquant pourrait retrouver l’accès et prendre le contrôle du compte […] La caractéristique distinctive d’une attaque de pré-piratage de compte est que l’attaquant effectue une action avant que la victime ne crée un compte sur le service cible. La victime sans méfiance pourrait ensuite retrouver l’accès à ce compte et commencer à l’utiliser, en ajoutant potentiellement des informations personnelles, des détails de paiement ou tout autre type d’informations privées. Après un certain temps, l’attaquant termine l’attaque en accédant au compte de la victime – atteignant essentiellement le même objectif qu’une attaque de piratage de compte“, est-il expliqué dans le billet de MSRC. En clair ou en résumé, avec l’avènement d’authentifications à facteurs multiples (SSO – box condensant plusieurs moyens de connexion) comme une application avec code, un code de secours, une empreinte digitale ou, entre-autres, le SMS, en parallèle, sont venus de la part des éditeurs (dont Microsoft, par ailleurs) d’autres biais pour se connexion sans forcément passer par le mot de passe : alors que le compte a été crée, l’IdP (Identity Provider) a pu autrement être re-utiliser que pour une connexion traditionnelle, en proposant une jointure-compte avec ce paramètre pour une connexion plus fluide ou directe. C’est ici que le nœud insécuritaire réside.

 

Dudit nœud découle cinq vulnérabilités ou exploits potentiels :

 

  • Cyber-attaque par fusion classique-fédérée : l’adresse e-mail de la victime est exploitée pour créer un nouveau compte (par voie classique) alors que la victime-même conçoit un (nouveau) compte (avec la même adresse e-mail, donc) par voie fédérée, ce qui génère un paradoxe sécuritaire et donc un compte indirectement sous la houlette de deux personnes ; à savoir, la victime et le cyber-attaquant ;

  • Cyber-attaque par IdP non-vérifié : en “miroir” de la première cyber-attaque (ci-dessus), un contournement (en mode fédéré) peut s’opérer par l’IdP “qui ne vérifie pas la propriété d’une adresse e-mail“. Le cyber-attaquant attend que la victime créer son compte (en mode classique) pour en prendre le contrôle total et définitif ;

  • Cyber-attaque par session non-expirée : vulnérabilité effective alors que le compte-utilisateur est encore actif (pas de déconnexion opérée par l’utilisateur : quitter la page ne déconnectant pas le compte, pour rappel) + action de re-initialisation de mot de passe. Dans ce contexte spécifique, un cyber-attaquant va créer un compte avec l’adresse mail de la victime et n’aura qu’à maintenir la session active, en maintenant cette dernière ;

  • Cyber-attaque par trojan : contrôle du compte selon le même modus operandi par le cyber-attaquant (adresse mail de la victime) avec, en plus, un identifiant ou marqueur-Trojan (toute information détenue par le cyber-attaquant pour juguler le compte, comme son numéro de téléphone, son identité, une autre adresse mail…) pour faciliter la bascule du compte (en son sens) en demandant, par exemple, une re-initialisation du mot de passe qui viendra à être confirmé vers le nouveau numéro de téléphone (du cyber-attaquant et, donc, non-plus de la victime, détenteur originel du compte ainsi contourné) ;

  • Cyber-attaque par changement de mail non-expiré : contrôle du compte alors que l’URL qui a initié la demande changement-mail est invalide (erreur, bug…). Un cybert-attaquant peut en profiter pour créer un compte (avec l’adresse mail de la victime) pour, ensuite, changer l’adresse mail (avec la sienne) et prendre le contrôle total et définitif du compte ainsi ciblé.

 

Il est indiqué que le cyber-attaquant doit pouvoir prédire ou estimer grandement vers quels services ou sites Web la (future) victime ira créer un compte mail, au détour, notamment, d’évènements, d’ingénierie sociale, ou de contextes comme le tele-travail. “Toutes les attaques décrites ci-dessus pourraient être atténuées si le service envoyait un e-mail de vérification à l’adresse e-mail fournie par l’utilisateur et exigeait que la vérification soit terminée avant d’autoriser toute autre action sur le compte. Une approche similaire pourrait être utilisée pour vérifier la propriété d’autres types d’identifiants, comme l’utilisation de messages texte ou d’appels vocaux automatisés pour confirmer la propriété des numéros de téléphone. Si le service utilise un IdP, il doit vérifier si l’IdP effectue cette vérification ou effectue sa propre vérification supplémentaire“, est-il recommandé à titre d’atténuation avec celles préconisées par les chercheurs, (pour les administrateurs-systèmes essentiellement), selon les différentes étapes d’authentification ci-dessous :

 

  • Re-initialisation du mot de passe : pas de sessions multiples (déconnexion) + invalidation des autres jetons ou tokens pour limiter les sessions non-expirées. Pour un compte donné, annuler les demande de re-initialisation d’e-mail (en attente) sauf, bien sûr, celle initialement demandée. Enfin, expliquer à l’utilisateur qu’il doit vérifier et supprimer, au besoin, tout identifiant inconnu où qui ne serait pas légitime en association-compte (ou de son fait) ;

  • Fusion-compte (classique + fédéré) : s’assurer que l’utilisateur possède le contrôle légitime sur le compte traditionnel et le compte fédéré (authentification par voie autre que traditionnelle, donc) en pouvant re-initialisation son mot de passe, par exemple, depuis l’accès classique ;

  • Re-initialisation de l’adresse e-mail (changement) : raccourcir la durée-validité de la demande (“aussi courte que possible“). En addition avec cette recommandation et pour limiter les cyber-attaques, il faut, également, limiter le nombre de fois où la demande peut être faite “pour un identifiant non-vérifié” ;

  • Nettoyage des comptes non-vérifiés : procéder à des suppressions régulières de comptes non-vérifiés + limiter le nombre de fois où un compte peut être créer depuis un identifiant non-vérifié voire (dans le cadre d’exploits DoS) en limitant le nombre de création de compte par “utilisateur légitime“. Dans tout les cas, il est recommandé de fixer des “seuils” ou plancher, par utilisateur, pour limiter les créations de comptes, vérifiés ou non ;

  • Authentification multi-facteur : activation de la fonctionnalité (quand disponible) et “dès que possible“. S’assurer, également et avant l’activation de la fonctionnalité, que toutes les sessions actives seront invalidées pour éviter l’exploit par session non-expirée.

 

 

L’ensemble de ces travaux sera présenté lors de la 31ième édition Usenix Security Symposium, qui prendra place à Boston (Etats-Unis), entre le 10 Août et 12 Août 2022… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6