微软研究发现数十个高流量网站存在安全漏洞可能引发账户预劫持攻击

《Portswigger》2022年5月30日报道,美国微软公司安全响应中心(MSRC)发现了一种名为“账户预劫持”的新型攻击技术,能够允许攻击者在受害人注册服务之前获得未经授权的在线帐户所有权。研究人员表示,当前的大多数网站上,用户可以直接提供电子邮件地址和密码来创建他们的帐户,或者通过使用Facebook、Google和Microsoft等公司提供的单点登录(SSO)服务使用联合身份验证。“账户预劫持”正是基于部分在线服务所支持的多种登录机制之间无法有效联动的漏洞,在攻击者使用受害者的电子邮件地址创建帐户,且受害者使用联合身份验证进行登陆时,某些网站服务会合并攻击者和受害者的帐户,让他们能够同时访问该帐户。微软安全响应中心检查了Alexa排名前150的高流量域列表中的75项服务,其中至少35项服务受到一种或多种帐户预劫持攻击的影响,包括Dropbox、Instagram、LinkedIn、WordPress.com和Zoom。目前,所有受影响的网站服务都收到了漏洞通知并实施了必要的修复。