根据Microsoft安全响应中心(MSRC)支持的一项新研究，恶意行为者甚至可以在受害者注册服务之前获得未经授权的在线帐户所有权。被称为“帐户预劫持”的攻击类别涉及攻击者在受害者甚至注册在线服务之前设置帐户接管漏洞。受害者注册后，攻击者利用服务身份验证机制中的安全漏洞来访问或获取新创建帐户的所有权。这研究(PDF)发现数十种高流量服务容易受到至少一种类型的预劫持攻击。该研究揭示了围绕帐户创建的安全问题，这是一个很少受到审查的问题。

该研究得到了MSRC于2020年初授予的一项身份项目研究补助金的支持。

“在这个项目中，我们探索了几个主题，但很快注意到围绕‘劫持前’威胁模型出现了一种模式，”MSRC高级研究员Andrew Paverd和独立研究员Avinash Sudhodanan。

帐户预劫持假设受害者在目标服务上还没有帐户，并且攻击者知道受害者的电子邮件和其他基本详细信息。研究人员发现了五种类型的预劫持攻击场景。

有些人利用许多在线服务支持的多种帐户创建模式。在许多网站上，用户可以直接提供电子邮件地址和密码来创建他们的帐户，或者通过使用Facebook、Google和Microsoft等公司提供的以消费者为中心的单点登录(SSO)服务来使用联合身份验证。

例如，在一种类型的攻击中，攻击者使用受害者的电子邮件地址创建一个帐户。然后受害者使用联合方法创建一个帐户。在某些服务中，这会合并攻击者和受害者的帐户，让他们同时访问同一个帐户。

在另一种类型的攻击中，攻击者使用受害者的电子邮件创建一个帐户，并将他们自己的联合身份与同一帐户相关联。当受害者尝试创建他们的帐户时，系统会提示他们重置密码。受害者将获得对该帐户的访问权限，但攻击者也将能够通过SSO身份访问该帐户。

研究人员说：“看到有多少在线服务正在转向单点登录是非常积极的，但这意味着它们可能必须支持多种登录机制。这本身并不一定是一个问题，许多服务安全地做到了这一点。

研究人员补充说：“我们的研究只是指出了在支持多种登录机制时需要注意的一些细微缺陷。”

Paverd和Sudhodanan指出，他们发现的三种攻击不需要服务支持多种登录机制。

例如，在一种方案中，即使受害者恢复了他们的帐户并重置了密码，攻击者的会话也可能保持活动状态。

在另一种情况下，攻击者使用受害者的电子邮件创建一个帐户，并向攻击者自己的电子邮件地址发起电子邮件更改请求。然后，攻击者等待受害者认领该帐户，然后完成电子邮件更改请求并获得该帐户的所有权。

在他们的研究中，研究人员检查了Alexa排名前150的高流量域列表中的75项服务。至少35人受到一种或多种帐户预劫持攻击的影响，包括Dropbox、Instagram、LinkedIn、WordPress.com和Zoom。幸运的是，所有受影响的服务都收到了漏洞通知并实施了必要的修复。

“我们认为缺乏意识可能是这些潜在漏洞的主要原因。因此，我们发布这项研究是为了提高认识并帮助组织减轻这些漏洞，”Paverd和Sudhodanan说。

研究人员总结说，最重要的一点是“在使用用户提供的任何标识符（例如，电子邮件地址或电话号码）创建新帐户或将其添加到现有帐户之前，验证用户是否真正拥有它们”。这将减轻迄今为止发现的所有类型的预劫持攻击。

研究人员的论文还描述了其他几种可能的纵深防御策略。

他们建议用户尽可能启用多因素身份验证(MFA)，因为它可以阻止他们发现的大多数预劫持攻击。

帐户预劫持的另一个迹象是收到有关您未创建的帐户的电子邮件，用户通常会忽略该电子邮件。“向相关网站报告，”研究人员说。