【资安日报】10月26日,研究人员揭露热门网站服务的OAuth漏洞,攻击者可架设另一个网页服务来挟持用户的登入资料

有研究人员在今年3月,针对网路服务广泛应用的OAuth身分验证措施提出警告,当时他们揭露了存在于订房网站Booking.com的漏洞,并指出类似的情况也可能发生在其他导入OAuth的网站。

到了最近,这些研究人员公布对于另外3个热门的网路服务调查结果,其共通点是骇客一旦取得用户其他服务用于OAuth身分验证的Token,就有机会挟持用户这些网站上的帐号。

 

【攻击与威胁】

资安业者卡巴斯基揭露针对巴西支付系统PIX用户而来的攻击行动,骇客从2022年12月透过恶意广告,针对从网路上搜寻网页版WhatsApp的用户下手,一旦使用者点选骇客购买的广告,就会被重新导引、连上恶意软体网站,过程中会检查使用者电脑是否开启27275埠,目的是检测是否存在特定的Avast Safe Banking元件,以便绕过侦测,然后最终下载NSIS的安装程式。

使用者若是执行安装,就会触发PowerShell指令码,并于电脑植入窃资软体GoPIX,进而挟持使用者执行支付的PIX交易,窜改收款人的资料,或是更换为比特币或以太坊钱包。

但卖家究竟如何取得相关帐密?研究人员推测,很有可能是对脸书员工进行社交工程攻击而得。

 

【漏洞与修补】

以Grammarly为例,当使用者试图透过脸书帐号存取这项服务的过程当中,网页编辑器会将使用者输入的资料储存在帐号里,研究人员发现存取脸书帐号的OAuth身分验证流程缺乏Token验证步骤,而使得攻击者有机会利用另一个App ID产生的Token,利用脸书帐号来收集用户的Token,然后对提供服务的网站发动攻击,进而接管用户帐号。

Vidio、Bukalapak也有类似的缺陷,而有可能导致网站服务的用户帐号遭到挟持。上述3家业者获报后,皆已完成修补。但研究人员警告,类似的弱点也有可能出现在其他采用OAuth的网页应用程式上。

思科10月19日VMware发布事件记录分析系统Aria Operations for Logs(原vRealize Log Insight)8.14版,当中修补身分验证绕过漏洞CVE-2023-34051,CVSS风险评分为8.1。

隔日资安业者Horizon3.ai也公布漏洞细节,以及概念性验证(PoC)攻击手法,并指出攻击者可透过IP位址欺骗,以及多种使用Thrift协定的RPC端点,来达到任意档案写入的目的,而能否成功利用这项漏洞,关键是攻击者须取得足够的权限,于目标系统加入额外的网路介面或静态IP位址。

研究人员指出,这项漏洞发生的原因,是VMware在一月发布的更新程式中,出现修补不完整的情况,使得攻击者有机会绕过修补程式码,发动远端执行任意程式码攻击(RCE)。对此,VMware也在23日更新公告,指出网路上已经出现概念性验证攻击程式码,接下来很可能会被用于攻击行动。

资料来源

1.  

【其他新闻】