WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Tấn công Man-in-the-cloud vào các tài khoản Dropbox, Google Drive, OneDrive
Nghiên cứu của Imperva chỉ ra một kỹ thuật mới được gọi là MITC (Man in the Cloud), cho phép tin tặc dễ dàng truy cập vào các tài khoản lưu trữ đám mây, đồng bộ phổ biến như Box, Dropbox, Google Drive, OneDrive mà không cần có mật khẩu của người dùng, và sử dụng các tài khoản đó vào hoạt động phi pháp của mình.
Các cuộc tấn công MITC không dựa vào lỗ hổng trên các ứng dụng đồng bộ hay lỗ hổng an ninh trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế.
Theo thiết kế, các dịch vụ lưu trữ sẽ không yêu cầu mật khẩu mỗi lần một file được đồng bộ, thay vào đó một token được sử dụng để cấp quyền cho các hoạt động này để không gián đoạn người dùng.
Token này được lưu trữ trên từng thiết bị mà người dùng kết nối với thiết bị lưu trữ đám mây của họ, và thậm chí nếu được mã hóa, token vẫn có thể bị tin tặc xâm nhập và đánh cắp.
MITC có thể là một trong những cách hiệu quả nhất để phát tán phần mềm độc hại và ramsomware.
Khi lấy được token mới, tin tặc có thể bổ sung những token đó vào PC hoặc các script tự động của mình, sau đó truy cập và lợi dụng các tài khoản đã bị tổn thương bằng rất nhiều cách khác nhau.
Tin tặc không còn gặp phải bất kỳ trở ngại nào trong việc đánh cắp dữ liệu từ những tài khoản đã bị xâm nhập, thay đổi file đã có, lây nhiễm mã độc hay ransomware, ngăn cản người dùng truy cập dữ liệu của chính họ.
Theo các nhà nghiên cứu của Imperva, điều đáng lo ngại hơn là những token này sẽ còn hoạt động trong một số trường hợp thậm chí sau khi mật khẩu đã được đổi (Dropbox and Box), và để xóa bỏ điểm truy cập cuối của tin tặc, người dùng cần phải gỡ bỏ thiết bị kết nối, hoặc trong một số trường hợp đặc biệt, phải hủy bỏ tài khoản lưu trữ đám mây và mở một tài khoản mới.
Imperva kết luận rằng đã tìm ra bằng chứng cho thấy những cuộc tấn công kiểu này đã xảy ra trong thực tế (ví dụ, như trong ‘The Inception Framework’).
Báo cáo này sẽ được trình bày tại hội nghị Black Hat USA 2015 sắp tới.
Các cuộc tấn công MITC không dựa vào lỗ hổng trên các ứng dụng đồng bộ hay lỗ hổng an ninh trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế.
Theo thiết kế, các dịch vụ lưu trữ sẽ không yêu cầu mật khẩu mỗi lần một file được đồng bộ, thay vào đó một token được sử dụng để cấp quyền cho các hoạt động này để không gián đoạn người dùng.
Token này được lưu trữ trên từng thiết bị mà người dùng kết nối với thiết bị lưu trữ đám mây của họ, và thậm chí nếu được mã hóa, token vẫn có thể bị tin tặc xâm nhập và đánh cắp.
MITC có thể là một trong những cách hiệu quả nhất để phát tán phần mềm độc hại và ramsomware.
Khi lấy được token mới, tin tặc có thể bổ sung những token đó vào PC hoặc các script tự động của mình, sau đó truy cập và lợi dụng các tài khoản đã bị tổn thương bằng rất nhiều cách khác nhau.
Tin tặc không còn gặp phải bất kỳ trở ngại nào trong việc đánh cắp dữ liệu từ những tài khoản đã bị xâm nhập, thay đổi file đã có, lây nhiễm mã độc hay ransomware, ngăn cản người dùng truy cập dữ liệu của chính họ.
Theo các nhà nghiên cứu của Imperva, điều đáng lo ngại hơn là những token này sẽ còn hoạt động trong một số trường hợp thậm chí sau khi mật khẩu đã được đổi (Dropbox and Box), và để xóa bỏ điểm truy cập cuối của tin tặc, người dùng cần phải gỡ bỏ thiết bị kết nối, hoặc trong một số trường hợp đặc biệt, phải hủy bỏ tài khoản lưu trữ đám mây và mở một tài khoản mới.
Imperva kết luận rằng đã tìm ra bằng chứng cho thấy những cuộc tấn công kiểu này đã xảy ra trong thực tế (ví dụ, như trong ‘The Inception Framework’).
Báo cáo này sẽ được trình bày tại hội nghị Black Hat USA 2015 sắp tới.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: