此類攻擊針對(duì)的是網(wǎng)站以及網(wǎng)絡(luò)在線平臺(tái)中無處不在的賬戶創(chuàng)建過程，攻擊者能夠在毫無防備的受害者于目標(biāo)服務(wù)中創(chuàng)建賬戶之前執(zhí)行一系列的行為。

此項(xiàng)研究是由個(gè)人安全研究員Avinash Sudhodanan與微軟安全響應(yīng)中心(MSRC）的Andrew Paverd 聯(lián)合展開的。

預(yù)劫持攻擊的前提條件是攻擊者能夠提前擁有與受害者相關(guān)的唯一標(biāo)識(shí)符，例如電子郵件地址、電話號(hào)碼，或者其他信息，這些信息一般可以通過抓取受害者的社交媒體賬戶獲取，也可以通過轉(zhuǎn)儲(chǔ)那些因大量的數(shù)據(jù)泄露而在網(wǎng)上傳播的憑證來獲取。

此類攻擊有五種不同的方式，包括與受害者同時(shí)使用同一個(gè)電子郵件地址來注冊(cè)賬戶，這樣就有一定的可能性使攻擊者與受害者同時(shí)擁有訪問目標(biāo)賬戶的權(quán)限。

預(yù)劫持的攻擊效果與普通劫持攻擊的一樣。兩者都可以使攻擊者在受害者不知情的情況下竊取受害者的機(jī)密信息，甚至可以利用服務(wù)的特性來冒充受害者。

研究人員表示，如果可以在受害者創(chuàng)建賬戶之前用其電子郵件地址在目標(biāo)服務(wù)上創(chuàng)建一個(gè)賬戶，那么攻擊者就可以利用各種技術(shù)使賬戶進(jìn)入預(yù)劫持的狀態(tài)。當(dāng)受害者恢復(fù)訪問權(quán)限并開始使用賬戶時(shí)，攻擊者就可以重新訪問并接管該賬戶。

預(yù)劫持的五種攻擊方式如下：

(1) 典型-聯(lián)邦合并攻擊：攻擊者和受害者分別使用兩個(gè)與同一電子郵件地址關(guān)聯(lián)的身份創(chuàng)建兩個(gè)賬戶，這樣攻擊者就可以與受害者同時(shí)擁有訪問目標(biāo)賬戶的權(quán)限了。

(2) 未過期的會(huì)話標(biāo)識(shí)符攻擊：攻擊者首先使用受害者的電子郵件地址創(chuàng)建一個(gè)賬戶，并創(chuàng)建一個(gè)長期運(yùn)行的活動(dòng)會(huì)話。當(dāng)用戶使用相同的電子郵件地址恢復(fù)賬戶時(shí)，攻擊者便可以繼續(xù)持有訪問權(quán)限，因?yàn)槊艽a重置并沒有終止攻擊者創(chuàng)建的會(huì)話。 

(3) 木馬標(biāo)識(shí)符攻擊：攻擊者首先使用受害者的電子郵件地址創(chuàng)建一個(gè)賬戶，然后添加一個(gè)木馬標(biāo)識(shí)符，例如次要的電子郵件地址或者攻擊者控制下的電話號(hào)碼。這樣，當(dāng)受害者重置密碼，恢復(fù)訪問權(quán)時(shí)，攻擊者就可以使用木馬標(biāo)識(shí)符重新獲取該賬戶的訪問權(quán)。

(4) 未過期的電子郵件更改攻擊：攻擊者首先使用受害者的電子郵件地址創(chuàng)建一個(gè)賬戶，然后將電子郵件地址更改為自己控制下的地址。當(dāng)服務(wù)向新的電子郵件地址發(fā)送驗(yàn)證URL時(shí)，攻擊者便開始等待受害者恢復(fù)并使用目標(biāo)賬戶，然后完成電子郵件更改進(jìn)程以奪取賬戶的控制權(quán)。

(5) 非驗(yàn)證身份提供程序(IdP)攻擊：攻擊者首先使用非驗(yàn)證的IdP創(chuàng)建一個(gè)具有目標(biāo)服務(wù)的賬戶。當(dāng)受害者通過經(jīng)典注冊(cè)路徑，用相同的電子郵件地址創(chuàng)建賬戶時(shí)，攻擊者就獲得了該賬戶的訪問權(quán)限。

在對(duì)Alexa排名中最受歡迎的前75個(gè)網(wǎng)站進(jìn)行的實(shí)證評(píng)估中，在35個(gè)服務(wù)上發(fā)現(xiàn)了56個(gè)預(yù)劫持漏洞。其中包括13個(gè)經(jīng)典-聯(lián)邦合并攻擊，19個(gè)未過期的會(huì)話標(biāo)識(shí)符攻擊，12個(gè)木馬標(biāo)識(shí)符攻擊，11個(gè)未過期的電子郵件更改方式攻擊，以及一個(gè)跨越幾個(gè)IdP平臺(tái)的非驗(yàn)證攻擊。

• Dropbox —— 未過期的電子郵件更改攻擊
• Instagram —— 木馬標(biāo)識(shí)符攻擊
• LinkedIn —— 未過期的會(huì)話標(biāo)識(shí)符攻擊
• Wordpress.com —— 未過期的會(huì)話標(biāo)識(shí)符攻擊以及未過期的電子郵件更改攻擊
• Zoom —— 經(jīng)典-聯(lián)邦合并攻擊以及非驗(yàn)證身份提供程序(IdP)攻擊

研究人員表示：遭受攻擊的根本原因……均是未能核實(shí)所聲稱標(biāo)識(shí)符的所有權(quán)。

盡管許多服務(wù)的確在執(zhí)行此種類型的驗(yàn)證，但他們通常是異步進(jìn)行的，允許用戶可以在標(biāo)識(shí)符被驗(yàn)證之前使用賬戶的部分功能。雖然這樣可以提高其可用性（減少注冊(cè)時(shí)用戶之間的摩擦），但同時(shí)它也使用戶變得更加容易受到預(yù)劫持攻擊?！?/p>

盡管在服務(wù)中實(shí)現(xiàn)嚴(yán)格的標(biāo)識(shí)符驗(yàn)證對(duì)于緩解預(yù)劫持攻擊至關(guān)重要，但同時(shí)還是要建議用戶盡量使用多因素身份驗(yàn)證(MFA)，來保護(hù)他們的賬戶。

研究人員表示： 正確實(shí)施MFA，不僅可以防止攻擊者在受害者開始使用預(yù)劫持賬戶后，再對(duì)該賬戶進(jìn)行身份驗(yàn)證，而且可以使所有在MFA激活之前創(chuàng)建的會(huì)話失效，以防止未過期的會(huì)話攻擊?！?/p>

除此之外，對(duì)于在線服務(wù)，建議定期刪除那些未經(jīng)驗(yàn)證的賬戶、強(qiáng)制執(zhí)行低窗口來對(duì)電子郵件地址的更改進(jìn)行驗(yàn)證，并使會(huì)話在密碼重置期間失效，從而實(shí)現(xiàn)賬戶管理的深入防御。

Sudhodanan和 Paverd 表示，服務(wù)需要將通過典型路徑創(chuàng)建的賬戶與通過聯(lián)邦創(chuàng)建的賬戶進(jìn)行合并時(shí)，必須事前確保是用戶本人在控制這兩個(gè)賬戶。

點(diǎn)評(píng)

無論是網(wǎng)絡(luò)平臺(tái)還是用戶個(gè)人，安全意識(shí)的缺乏都使得預(yù)劫持攻擊有機(jī)可乘。對(duì)于網(wǎng)站或在線平臺(tái)，事先核實(shí)用戶實(shí)際擁有的所有標(biāo)識(shí)符，然后再去創(chuàng)建新賬戶或?qū)⑵涮砑又连F(xiàn)有賬戶是很有必要的。而對(duì)于用戶，應(yīng)盡可能地啟用多因素認(rèn)證機(jī)制。同時(shí)，收到并非自己創(chuàng)建的賬戶郵件也是預(yù)劫持攻擊的重要跡象，需及時(shí)向相關(guān)平臺(tái)反饋。