Przejmowanie kont Google, Microsoft i CloudFlare przez bug z włączonym 2FA

29 stycznia, 2019
2fa bezpieczeństwo logowania

W zeszłym tygodniu opisywaliśmy narzędzie Modlishka do obchodzenia pewnych typów 2FA podatnych na MITM. Ataki phishingowe mające na celu przejmowanie teoretycznie dobrze zabezpieczonego konta (z włączonym drugim składnikiem logowania) nie są dla ekspertów czymś niezwykłym. Badacze podkreślają, że lepiej aktywować takie zabezpieczenie niż bazować na zwykłym haśle. I od czasu do czasu ktoś udowadnia, że pewne typy 2FA są zawodne, a ataki przejmowania kont mogą być bardzo ciekawe.

Tym razem jest to metoda nieudokumentowana i wygląda na podatność albo bug. Dotyczy prawie wszystkich znanych portali internetowych takich jak: Google, Microsoft i pewnie innych, które nie zostały przez autora przetestowane. Trudność polega na tym, że atakujący musi wykonać pewne czynności i podtrzymywać sesję logowania.

W jaki sposób przejąć czyjeś konto nie znając hasła?

 Tak autor opisuje znaleziony bug:

 1. Atakujący przejmuje słabo zabezpieczone konto i w pierwszej przeglądarce włącza 2FA na koncie ofiary.

2. W drugiej przeglądarce próbuje zalogować się na zhackowane konto za pomocą 2FA. Ale nie loguje się do końca…

Bezpieczeństwo 2FA google

3. W pierwszej przeglądarce atakujący wyłącza 2FA (podtrzymując sesję logowania za pomocą 2FA w drugiej przeglądarce).

4. Ofiara dostaje powiadomienie i widzi logowanie z obcego adresu IP, więc odzyskuje dostęp do konta i zmienia hasło (nie aktywuje 2FA).

5. Atakujący wraca do pkt. 2 i wpisuje kod z Google Authenticator.

Atakujący właśnie zalogował się na konto ofiary bez ponownej kradzieży hasła!

Jak odpowiadali na to giganci? Google nie naprawiło problemu. Microsoft do dzisiaj nie uważa tego za niebezpieczne, a firma CloudFlare zajęła się tym bardzo profesjonalnie. Facebook odpowiedział lakonicznie, że jeśli kiedyś dojdzie do takiego ataku, to badaczowi wypłacą nagrodę.

Wykorzystanie tego ataku w praktyce jest trudne, ponieważ atakujący musi wiedzieć, kiedy ofiara spróbuje zalogować się i musi stale podtrzymywać sesję logowania. Niejako mamy tutaj do czynienia z atakiem man in the middle. Deweloperzy z wielkich firm potraktowali odkrycie jako niemożliwe do przeprowadzenia lub je zignorowali. Czy słusznie?

W tej czasowej furtce, na którą i tak bardzo trudno trafić, atakujący musi wgryźć się w moment logowania ofiary po raz drugi za pomocą swojego hasła. Dlatego tak ważne jest, aby nie bazować na zwykłych hasłach, które codziennie wyciekają do sieci. Podstawowym mechanizmem uwierzytelnienia powinno być zastosowanie drugiego składnika potwierdzającego tożsamość. Najlepiej zastosować klucz bezpieczeństwa np. Yubikey, bez którego atakujący, nawet gdyby znał login i hasło, nie jest w stanie zalogować się — ale pod warunkiem, że zrezygnujemy w ustawieniach konta z alternatywnego logowania za pomocą kodów jednorazowych lub haseł SMS.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]