सुरक्षा फर्मों ने ईए / ओरिजनल बनाम सबडोमेन हाईजैक शोषण का प्रदर्शन किया

दो सुरक्षा फर्म ग्राफिक रूप से उपडोमेन अपहरण के खतरे को प्रदर्शित करती हैं।

सुरक्षा फर्मों ने ईए / ओरिजनल बनाम सबडोमेन हाईजैक शोषण का प्रदर्शन किया
सुरक्षा फर्मों ने ईए / ओरिजनल बनाम सबडोमेन हाईजैक शोषण का प्रदर्शन किया


इज़राइली सुरक्षा फर्म चेक प्वाइंट और साइबरआईएनटी ने इस सप्ताह भागीदारी की, शोषण, और एक बुरा सुरक्षा दोष प्रदर्शित किया, जो ईए / ओरिजिन के ऑनलाइन गेम्स में खिलाड़ियों के खातों को अपहृत करने की अनुमति देता है। शोषण श्रृंखला कई क्लासिक प्रकार के हमलों के साथ-साथ फ़िशिंग, सत्र अपहरण, और क्रॉस-साइट स्क्रिप्टिंग है - लेकिन मुख्य दोष जो पूरे हमले के काम को खराब करता है, DNS को खराब बनाए रखता है।

यदि आपके पास infosec के लिए यथोचित अच्छी आंख है, तो अधिकांश वीडियो अपने लिए बोलता है। हमलावर व्हाट्सएप पर एक पीड़ित को डोडी लिंक पर क्लिक करने के लिए पीड़ित करता है, पीड़ित चमकदार क्लिक करता है और स्वामित्व में हो जाता है, और चोरी किए गए क्रेडेंशियल्स का उपयोग पीड़ित के खाते पर कहर ढाने के लिए किया जाता है।


क्या इस हमले को अलग बनाता है - और बहुत अधिक खतरनाक है - जो कि e.com के वैध, कामकाजी उपडोमेन पर होस्ट की गई साइट का हमलावर है। उनके कब्जे में एक वास्तविक उपडोमेन के बिना, हमले को पीड़ित को एक फर्जी ईए पोर्टल पर लॉग इन करने की आवश्यकता होगी, ताकि हमलावर को पासवर्ड कटाई करने की अनुमति मिल सके। इससे पीड़ित को घोटाले के प्रति सचेत होने की संभावना बढ़ जाती। काम करने वाले उपडोमेन के साथ, हमलावर सीधे और वास्तविक समय में शोषण करने से पहले एक मौजूदा सक्रिय ईए सत्र से प्रमाणीकरण टोकन की कटाई करने में सक्षम था।

जब मैंने आज एक कॉन्फ्रेंस कॉल में साइबरइंट के एलेक्स पेलेग और चेक प्वाइंट के ओड वनाउ से बात की, तो मैं वास्तव में यह जानना चाहता था कि पहली बार में आप लोगों को उस ईए सबडोमेन का नियंत्रण कैसे मिलेगा? दो शोधकर्ताओं के अनुसार, यह एक बहुत ही सामान्य पेंच है। एक बड़ी कंपनी एक नया विपणन अभियान शुरू करती है, कोडिंग का काम करने के लिए एक devops टीम की स्थापना करती है और टीम को अभियान चलाने के लिए eaplayinvite.ea.com जैसे नए उपडोमेन देती है। देव्स टीम AWS, Google क्लाउड या इसी तरह के प्रदाता पर नए उदाहरण प्रस्तुत करती है, फिर होस्ट में प्रदाता-आंतरिक A रिकॉर्ड में कंपनी उपडोमेन को जोड़ने के लिए CNAME रिकॉर्ड का उपयोग करती है। जब विपणन अभियान समाप्त हो जाता है, तो AWS या अन्य क्लाउड इंस्टेंस बंद हो जाता है ... लेकिन CNAME रिकॉर्ड से छुटकारा पाने के लिए कंपनी के मुख्य डोमेन का प्रबंधन करने वाली टीम को कोई नहीं बताता है। यहीं से चीजें बग़ल में चली जाती हैं।

कंपनी में रुचि रखने वाला एक हमलावर यह देख सकता है कि उसने एक नया उपडोमेन लॉन्च किया है और फिर उपकरण खुदाई का उपयोग करके देखें कि यह कैसे होस्ट किया गया है। यदि हमलावर देखता है कि कंपनी ने क्लाउड प्रदाता के आंतरिक DNS पर पुनर्निर्देशित करने के लिए CNAME रिकॉर्ड का उपयोग किया है, तो अगला कदम मार्केटिंग अभियान के पूरा होने और अभियान में शामिल URL के काम करने से रोकने का इंतजार करना है। अब हम फिर से उपडोमेन नाम खोदते हैं - यदि मूल CNAME बरकरार है, तो हम व्यवसाय में हैं। इसके बाद, हमलावर उसी क्लाउड प्रदाता पर अपने स्वयं के खाते का उपयोग करता है और अभियान द्वारा मूल रूप से उपयोग किए गए समान प्रदाता-आंतरिक DNS नाम का अनुरोध करता है।

इस बिंदु पर, मूल CNAME अब हमलावर की वेबसाइट को इंगित कर रहा है, वास्तविक कंपनी द्वारा नियंत्रित नहीं। कंपनी के वास्तविक डोमेन के कामकाजी उपडोमेन के साथ सशस्त्र, कंपनी के उपयोगकर्ताओं से संबंधित कुकीज़ को कैप्चर किया जा सकता है (और एम्बेडेड!)। यह उस कंपनी की सेवाओं का उपयोग करके तत्काल हमलों बनाम पीड़ितों को संभव बनाता है।

इस मामले में, एलेक्स और ओड ने व्हाट्सएप पर एक फ़िशिंग हमले के साथ खोला, लेकिन एक अधिक मनोरंजक हमलावर शायद पानी के छेद वाले हमले के साथ शुरू हो गया। कल्पना कीजिए कि एक गंभीर हमलावर ने बैनर-फार्म से एचटीएमएल-सक्षम विज्ञापन खरीदे थे, विशेष रूप से ईए गेमर्स को लक्षित करते हुए - उनके विज्ञापन उनके अपहृत उपडोमेन के लिए एक अदृश्य आइफ्रेम खोल सकते हैं। इस तरह के एक iframe स्वचालित रूप से उपयोगकर्ताओं से बातचीत के लिए किसी भी आवश्यकता के बिना किसी भी लॉग-इन गेमर्स के ऑर्कुअल टोकन को काट सकता है।

डरावनी संभावनाएं लाजिमी हैं।

एलेक्स और ओड के अनुसार, ईए / ओरिजिन द्वारा यहां जिस तरह का ओवरसाइट बनाया गया है, वह बड़ी कंपनियों में बेहद आम है। देवोपस टीमें infosec टीमों से बात नहीं करती हैं, दोनों में से कोई भी अधिक पारंपरिक ऑप्स टीम से बात नहीं करती है जो कंपनी-वाइड DNS जैसी मुख्य सेवाओं का प्रबंधन करती है, और गलतियाँ हो जाती हैं। शोधकर्ताओं- और उनकी कंपनियों को- उम्मीद है कि इस तरह सार्वजनिक प्रदर्शन बड़ी कंपनियों को जगाएंगे, साइलो को तोड़ेंगे, और अंत में अंत-उपयोगकर्ता खातों को हैकिंग के लिए कम संवेदनशील बना देंगे।

0 Comments: