CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

Invasão de contas num clique com tokens OAuth

Da Redação
12/07/2022

O pesquisador de segurança Frans Rosén, da empresa Detectify, publicou no dia 6 de Julho um detalhado relatório mostrando três cenários nos quais um invasor pode usar o OAuth para roubar tokens e alcançar o controle de contas com um único clique. Ele mostra também como as organizações podem reduzir o risco de comprometimento. Segundo Rosén, existem muitos cenários vulneráveis nos quais os códigos de autorização (ou tokens) podem vazar para um invasor, especialmente quando se combina a troca do tipo de resposta, “estado inválido” e peculiaridades de redirecionamento de URI com javascripts de terceiros.

Rosén descreve esses cenários como “dança suja”: os invasores podem abusar das ‘danças’ do OAuth – seus processos de autenticação e como eles gerenciam a comunicação entre um navegador e um provedor de serviços.

Veja isso
Invasões em série com tokens OAuth emitidos pelo GitHub
Abuso de OAuth em alta, credenciais corporativas em risco

Desenvolvedores de navegadores, incluindo Google e Mozilla, trabalharam duro nos últimos anos para bloquear quaisquer possíveis caminhos para vazamentos de referências cruzadas e ataques de scripts entre sites (XSS). No entanto, esses ataques ainda são comuns e uma ameaça para usuários em todo o mundo, conforme destaca a última lista das 25 fragilidades de software mais perigosas da Common Weakness Enumeration (CWE) de 2022 do MITRE, divulgada no final de junho.

As soluções implementadas pelos navegadores para reduzir o risco desses ataques incluem Política de Segurança de Conteúdo (CSP) e Tipos Confiáveis, permitindo que o software rejeite valores de dados que possam levar a DOM XSS e seqüestro de credenciais. No entanto, o pesquisador diz que o fluxo de login do OAuth, usado por empresas como Slack, Facebook e Twitter, pode ser “quebrado” pelo mesmo impacto.

O que é OAuth

OAuth, também conhecido como Open Authentication, é uma estrutura para gerenciar identidades e proteger áreas online em serviços de terceiros. Em vez de aproveitar uma combinação de nome de usuário e senha da conta, por exemplo, os provedores de serviços podem utilizar o OAuth para fornecer tokens de acesso temporários e seguros.

O relatório de Rosén está em “https://labs.detectify.com/2022/07/06/account-hijacking-using-dirty-dancing-in-sign-in-oauth-flows/”

Compartilhar: