Un ricercatore di sicurezza informatica ha scoperto un nuovo modo pericoloso di abusare del software di collaborazione online per aggirare l'autenticazione a più fattori (MFA) e compromettere account altrimenti sicuri.
Il ricercatore, che si chiama mr.dox, ha avuto l'idea mentre conduceva un test di penetrazione per un cliente.
L'AMF di solito è un ottimo modo per proteggere un account dal phishing perché anche se la vittima finisce su una pagina di destinazione falsa e inserisce le proprie credenziali di accesso, il suo account è comunque protetto dal passcode univoco.
non è il tuo browser
Tuttavia, cosa accadrebbe se la vittima stesse effettivamente accedendo a una sessione non VNC, con Firefox (o qualsiasi altro browser) in modalità kiosk, invece di accedere al sito Web nel browser del proprio dispositivo?
Questo è esattamente ciò che Mr.dox è riuscito a fare. NoVNC è, in parole povere, un programma desktop remoto, che consente agli utenti di connettersi a un server VNC (Virtual Network Computing) direttamente da un browser, semplicemente facendo clic su un collegamento.
In teoria, un utente malintenzionato potrebbe creare un'e-mail di phishing che notifica all'obiettivo un nuovo post non letto sul proprio account LinkedIn. L'e-mail conterrebbe un collegamento "Accedi qui" che visualizzerebbe la sessione noVNC e il browser in modalità kiosk. In questo modo, tutto ciò che l'utente vedrà è una pagina web, come ci si aspetterebbe.
Dopo aver effettuato l'accesso (e persino aver inviato la tua chiave MFA), l'attaccante può utilizzare vari strumenti per rubare password e chiavi di sicurezza. Ciò che è ancora più pericoloso è il fatto che alcuni servizi richiedono l'autenticazione MFA solo una volta e, dopo aver autorizzato il dispositivo, la password sarebbe sufficiente.
Inoltre, VNC consente a più persone di controllare la stessa sessione, il che potrebbe consentire agli aggressori di disconnettere la sessione della vittima dopo l'accesso e riconnettersi in seguito.
Parlando con BleepingComputer, il ricercatore ha affermato che l'attacco è ancora teorico in quanto non è stato osservato in natura, ma crede che sia solo questione di tempo prima che accada. .
Per quanto riguarda le misure di sicurezza, sono sempre le stesse con il phishing. Non scaricare alcun allegato di posta elettronica o aprire alcun collegamento di posta elettronica a meno che non siate assolutamente certi dell'autenticità e delle buone intenzioni del mittente.
Via: BleepingComputer