ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยช่องทางที่แอคเค้าน์ของเราอาจถูกชิงไปแล้วแม้จะยังไม่ทันสมัครใช้บริการ
Andrew Paverd นักวิจัยจากทีม Microsoft Security Response Center และ Avinash Sudhodanan นักวิจัยอิสระได้ร่วมกันเผยผลการวิเคราะห์บริการออนไลน์กว่า 75 บริการ ซึ่งพบว่าผู้ใช้งานอย่างน้อย 35 บริการอาจถูกขโมยบัญชีไปก่อนแม้จะยังไม่ได้สมัครก็ตาม โดยทั้งหมดนี้เป็นช่องโหว่ที่เกิดขึ้นจากบริการเองที่อาจจะตัดรอนขั้นตอนยุ่งยากของการสมัครเข้าใช้บริการ
ไอเดียง่ายๆก็คือแฮกเกอร์ต้องทราบอีเมลของท่านก่อนเพื่อแอบนำไปสมัครบริการที่มีช่องโหว่ โดยหวังว่าเหยื่อจะไม่ได้ตรวจสอบการแจ้งเตือนในอินบ็อกซ์ หลังจากนั้นก็รอให้วันหนึ่งเหยื่ออาจจะมาสมัครใช้บริการนี้หรือถูกกระตุ้นด้วยวิธีการบางอย่าง ฟังดูไม่น่าจะเป็นไปได้ แต่สิ่งที่ผู้เชี่ยวชาญพบในกลไกช่องโหว่คือ
1.) Classic-federated Merge (CFM) เป็นการที่แพลตฟอร์มมีการรวมบัญชีที่ถูกสร้างใหม่เข้ากับของเก่า ในบางกรณีไม่มีการแจ้งเตือนผู้ใช้ด้วยซ้ำ โดยการโจมตีนี้ขึ้นอยู่กับวิธีการทำ SSO ซึ่งทำให้ผู้ใช้ไม่ต้องมาเปลี่ยนรหัสที่คนร้ายตั้งไว้
2.) Unexpired Session Attack เมื่อเหยื่อสร้างแอคเค้าน์ใหม่หรือรีเซ็ตรหัสผ่านแล้ว คนร้ายจะพยายามรักษาไม่ใช้ Session หมดอายุด้วยการใช้สคริปต์ ทำให้คนร้ายสามารถเข้าถึงแอคเค้าน์ได้อยู่
3.) Trojan identifier เป็นการผสมผสานวิธีการ 1 และ 2 คือหลังจากที่คนร้ายสร้างบัญชีเหยื่อไว้ล่วงหน้าแล้ว ก็จะทำการเชื่อมโยงบัญชีไว้กับแอคเค้าน์ IdP ของตนเพื่อทำ Federate Authentication หากเหยื่อรีเซ็ตรหัสผ่าน คนร้ายก็ยังเข้าถึงได้ผ่านทาง Federate Authentication
4.) Unexpired Email Change เป็นการที่คนร้ายสร้างแอคเค้าน์เหยื่อไว้พร้อมร้องขอเปลี่ยนแปลงทิ้งไว้โดยไม่ได้ยืนยัน เมื่อเหยื่อเข้ามารีเซ็ตรหัสผ่านคนร้ายก็จะตรวจสอบการเปลี่ยนแปลงและเข้าถึงแอคเค้าน์
5.) non-verifying Identity provider (IdP) attack (NV) คนร้ายอาศัยการขาดการตรวจสอบความเป็นเจ้าของ IdP เมื่อสร้างแอคเค้าน์ ทำให้สามารถใช้บริการ Okta และ Onelogin เข้ามาได้
หลายบริการก็ต้องการตรวจสอบผู้ใช้ใหม่ผ่านทางอีเมล ทำให้ต้องมีการสับเปลี่ยนอีเมลคนร้ายกับเหยื่อด้วยการใช้ฟังก์ชันปกติที่บริการออนไลน์เหล่านั้นมี บางบริการไม่แม้แต่จะตรวจสอบอีเมลใหม่ ในงานวิจัยนี้ได้เผยถึงช่องโหว่ข้างต้นกับบริการชื่อดัง เช่น Dropbox , IG , LinkedIn , WordPress , Zoom และอื่นๆ ซึ่งผู้เชี่ยวชาญได้แจ้งเตือนให้เจ้าของแพลตฟอร์มได้แก้ไขแล้ว สำหรับท่านใดที่ต้องการเจาะลงไปถึงรายละเอียดเข้าชมต่อได้ที่ https://arxiv.org/pdf/2205.10174.pdf
ที่มา : techfeedthai / วันที่เผยแพร่ 24 พ.ค.65
Link : https://www.techtalkthai.com/ผู้เชี่ยวชาญเผยแอคเค้า/