Bir siber güvenlik araştırmacısı, çok faktörlü kimlik doğrulamayı (MFA) atlamak ve aksi takdirde güvenli hesapları tehlikeye atmak için çevrimiçi işbirliği yazılımını kötüye kullanmanın yeni ve tehlikeli bir yolunu keşfetti.
Bay.dox adını taşıyan araştırmacı, bir müşteri için sızma testi yaparken bu fikirle karşılaştı.
Genellikle MFA, bir hesabı kimlik avına karşı korumanın harika bir yoludur, çünkü kurban sahte bir açılış sayfasına ulaşsa ve oturum açma bilgilerini girse bile hesapları tek seferlik parolayla korunmaya devam eder.
bu senin tarayıcın değil
Ancak, kurban kendi cihazındaki tarayıcıdaki web sitesine erişmek yerine Firefox (veya bu konuda başka bir tarayıcı) kiosk modunda gerçekten bir noVNC oturumuna erişiyorsa?
Bu tam olarak mr.dox’un yapmayı başardığı şey. NoVNC, mümkün olan en basit ifadeyle, kullanıcıların bir bağlantıyı tıklatarak doğrudan bir tarayıcıdan bir VNC (Sanal Ağ Bilgi İşlem) sunucusuna bağlanmasına izin veren bir uzak masaüstü programıdır.
Teorik olarak, bir saldırgan LinkedIn hesabında yeni, okunmamış bir mesajın hedefini bildiren bir kimlik avı e-postası oluşturabilir. E-posta, noVNC oturumunu ve tarayıcıyı kiosk modunda getirecek bir “Burada oturum açın” bağlantısı taşır. Bu şekilde, kullanıcının göreceği tek şey, beklediği gibi bir web sayfasıdır.
Saldırgan, oturum açtıktan (ve hatta MFA anahtarını gönderdikten) sonra, parolaları ve güvenlik anahtarlarını çalmak için çeşitli araçlar kullanabilir. Daha da tehlikeli olan, bazı servislerin yalnızca bir kez MFA gerektirmesi ve cihazı yetkilendirdikten sonra şifrenin yeterli olmasıdır.
Ayrıca VNC, birden fazla kişinin aynı oturumu izlemesine izin vererek, saldırganların oturum açtıktan sonra kurbanın oturumunun bağlantısını kesmesine ve daha sonraki bir tarihte yeniden bağlanmasına olanak tanır.
ile konuşmak BleeBilgisayarAraştırmacı, vahşi doğada gözlemlenmediği için saldırının hala teorik olduğunu, ancak bunun gerçekleşmesinin sadece bir zaman meselesi olduğuna inandığını söyledi.
Güvenlik önlemlerine gelince – bunlar her zaman kimlik avı ile aynıdır. Gönderenin gerçekliğinden ve iyi niyetinden kesinlikle emin olmadıkça, hiçbir e-posta ekini indirmeyin ve hiçbir e-posta bağlantısını açmayın.
Üzerinden: BleeBilgisayar
