这种攻击针对的是网站和在线平台上普遍存在的账户创建过程,允许攻击者在毫无戒心的受害者可以在目标服务中创建账户之前创建账户并执行一系列操作。该研究由微软安全响应中心(MSRC)的个人安全研究员AvinashSudhodanan和AndrewPaverd联合进行。预劫持攻击的前提是攻击者可以预先拥有与受害者相关的唯一标识符,例如电子邮件地址,电话号码或其他信息,这些信息通常可以通过抓取受害者的社交媒体帐户来获得,或者通过倾倒由于大量数据泄露而在线传播的凭据来获取它。此类攻击有五种不同的方式,包括使用与受害人相同的邮箱地址同时注册账户,因此攻击者和受害人有一定的可能同时访问目标账户。同时。预劫持攻击的效果与普通劫持攻击的效果相同。两者都允许攻击者在受害者不知情的情况下窃取受害者的机密信息,甚至可以利用服务的功能来冒充受害者。研究人员表示,如果受害者的电子邮件地址可用于在受害者创建帐户之前在目标服务上创建帐户,则攻击者可以使用多种技术将帐户置于劫持前的状态。当受害者重新获得访问权限并开始使用该帐户时,攻击者可以重新获得访问权限并接管该帐户。预劫持的五种攻击方式如下:(1)典型-联合合并攻击:攻击者和受害者使用与同一电子邮件地址关联的两个身份创建两个账户,使攻击者和受害者都可以访问到目标帐户。(2)未过期会话标识符攻击:攻击者首先使用受害者的电子邮件地址创建一个帐户,并创建一个长时间运行的活动会话。当用户使用相同的电子邮件地址恢复帐户时,攻击者可以继续保持访问权限,因为密码重置不会终止攻击者创建的会话。(3)木马标识符攻击:攻击者首先使用受害者的电子邮件地址创建一个帐户,然后添加一个木马标识符,例如受攻击者控制的辅助电子邮件地址或电话号码。这样,当受害者重置密码并重新获得访问权限时,攻击者可以使用木马标识符重新获得对该帐户的访问权限。(4)未过期邮箱更改攻击:攻击者首先使用受害者的邮箱地址创建账户,然后将邮箱地址更改为自己控制的地址。当服务将验证URL发送到新的电子邮件地址时,攻击者会等待受害者恢复并使用目标帐户,然后再完成电子邮件更改过程以夺取帐户的控制权。(5)未经身份验证的身份提供者(IdP)攻击:攻击者首先使用未经身份验证的IdP在目标服务中创建帐户。当受害者通过经典注册路径使用相同的电子邮件地址创建帐户时,攻击者就可以访问该帐户。在对Alexa排名前75位最受欢迎的网站进行的实证评估中,在35项服务上发现了56个预劫持漏洞。其中包括13次经典联合合并攻击、19次未过期会话标识符攻击、12次特洛伊木马标识符攻击、11次未过期电子邮件变更方式攻击以及一次跨多个IdP平台的非身份验证攻击。Dropbox-未过期电子邮件更改攻击Instagram-特洛伊木马标识符攻击LinkedIn-未过期会话标识符攻击Wordpress.com-未过期会话标识符攻击和未过期电子邮件更改攻击Zoom-经典-联合合并攻击和非身份验证身份提供者(IdP)攻击:根源据研究人员称,攻击的原因......是未能验证所声称的标识符的所有权。虽然许多服务确实执行这种类型的验证,但它们通常是异步执行的,允许用户在验证标识符之前使用部分帐户。虽然这提高了它的可用性(减少用户在注册时的摩擦),但它也使用户更容易受到预劫持攻击。“虽然在服务中实施强标识符验证对于减轻劫持前攻击至关重要,但建议用户尽可能使用多因素身份验证(MFA)来保护他们的帐户。研究人员说:正确实施MFA,这不仅可以防止攻击者无法在受害者开始使用它后对预先劫持的帐户进行身份验证,但它还会使MFA激活之前创建的所有会话无效,以防止未过期的会话攻击。”除其他事项外,对于在线服务,建议定期删除未经身份验证的帐户,对电子邮件地址更改执行低窗口以进行身份??验证,并在密码重置期间使会话无效以进行纵深防御帐户管理。Sudhodanan和Paverd表示,当服务需要将通过典型路由创建的账户与通过联邦创建的账户合并时,必须确保用户自己提前控制这两个账户。点评无论是网络平台还是个人用户,安全意识的缺乏都让预劫持攻击有机可乘。对于网站或在线平台,在创建新帐户或将其添加到现有帐户之前,需要验证用户实际拥有的所有标识符。对于用户来说,应该尽可能启用多因素认证机制。同时,收到非自己创建账户的邮件也是劫持前的重要标志,需要及时向相关平台报告。
