Il est possible d’effectuer un piratage de compte en un seul clic en abusant du flux de processus OAuth, a découvert un chercheur en sécurité.
OAuth, également connu sous le nom d’authentification ouverte, est un cadre de gestion des identités et de sécurisation des zones en ligne sur des services tiers. Plutôt que de tirer parti d’une combinaison de nom d’utilisateur et de mot de passe de compte, par exemple, les fournisseurs de services peuvent utiliser OAuth pour fournir des jetons d’accès temporaires et sécurisés.
Cependant, dans certains scénarios, les attaquants peuvent abuser des implémentations OAuth pour voler ces jetons et effectuer un piratage de compte en un clic.
Danse sale
Le 6 juillet, Frans Rosén, conseiller en sécurité chez Detectify, nous a présenté plusieurs vecteurs d’attaque potentiels et comment les organisations peuvent atténuer le risque de compromission.
Rosen décrit ces scénarios comme « danse sale ». Les attaquants peuvent abuser des » danses » OAuth – leurs processus d’authentification et la façon dont ils gèrent la communication entre un navigateur et un fournisseur de services – en combinant le changement de type de réponse, les états invalides et les » bizarreries » de programmation d’URI pour voler des informations utilisateur telles que des codes d’autorisation ou des jetons. .
Les développeurs de navigateurs, dont Google et Mozilla, ont travaillé dur ces dernières années pour détruire toutes les voies potentielles de fuites de référents d’origine croisée et d’attaques de script intersite (XSS).
Cependant, comme le souligne la dernière liste des 25 faiblesses logicielles les plus dangereuses du Common Weakness Enumeration (CWE) 2022 de MITRE, rendue publique fin juin, ces attaques sont toujours courantes et constituent une menace pour les utilisateurs du monde entier.
Abus du flux de connexion
Les solutions mises en œuvre par les navigateurs pour réduire le risque de ces attaques incluent la politique de sécurité du contenu (CSP) et les types de confiance, qui permettent au logiciel de rejeter les valeurs de données qui pourraient conduire au DOM XSS et au piratage des informations d’identification.
Cependant, le chercheur affirme que le flux de connexion d’OAuth, utilisé par des entreprises telles que Slack, Facebook et Twitter, peut potentiellement être « cassé » pour le même impact.
EN RELATION CWE Top 25 : Ce sont les faiblesses logicielles les plus dangereuses de 2022
Il convient de garder à l’esprit que ces types d’attaques ne sont pas faciles à réaliser et, comme le dit Rosén, impliquent un « grind » impliquant un examen du code source et une connaissance du fonctionnement des danses d’OAuth.
Briser la chaîne
Pour voler des jetons, un attaquant doit d’abord briser la chaîne entre le système émettant des jetons et un fournisseur de services qui les consomme.
Cela peut être réalisé en modifiant la valeur d’état utilisée via un lien spécialement conçu, envoyé à une victime potentielle en tant que page de connexion, mais qui utilise l’état valide de l’attaquant.
Une fois qu’une victime s’est connectée et est redirigée vers un site Web, la « danse » est interrompue, car il n’y a pas d’état valide pour l’utilisateur. L’utilisateur verra alors un message d’erreur, et si l’attaquant est capable de divulguer des données et des URL à partir de la page d’erreur, le chercheur dit que l’acteur de la menace « peut maintenant se connecter avec son propre état et le code divulgué par la victime ». .
Il est également possible que le type de réponse, la commutation de mode de réponse et l’abus de chemin de redirection-uri soient utilisés pour intercepter les connexions et provoquer un comportement inattendu, bien que la modification de ces chemins soit difficile.
« Dans une danse OAuth appropriée utilisant du code, lors de la dernière étape pour acquérir le jeton d’accès auprès du fournisseur de services, le redirect_uri doivent également être fournies pour validation au fournisseur de services », explique Rosén.
« Si la redirect_uri qui a été utilisé dans la danse ne correspond pas à la valeur que le site Web envoie au fournisseur, aucun jeton d’accès ne sera émis.
Piratage en un clic
Le chercheur a testé différentes méthodes d’attaque et a réalisé un détournement en un clic. Un exploit impliquant la connexion Apple OAuth a été signalé le 12 mai.
Il existe d’autres bizarreries que les attaquants peuvent également exploiter pour compromettre OAuth et récupérer les URL divulguées. Il s’agit notamment d’effectuer une attaque XSS sur le domaine tiers qui reçoit des données d’URL lors de l’authentification et d’abuser des API destinées à récupérer des URL. Les domaines sans contrôles d’origine suffisants, par exemple, peuvent être exposés à un risque d’exploitation.
« En raison du fait que chaque fournisseur OAuth autorise autant de types et de modes de réponse différents, il devient assez difficile pour un site Web de couvrir tous les différents cas », explique Rosén.
Pour atténuer le risque d’attaque, le chercheur recommande de revoir les Guide des meilleures pratiques actuelles de sécurité OAuth 2.0en s’assurant que les pages rendues pour la réponse d’autorisation d’OAuth ne contiennent pas de ressources ou de liens tiers, et les utilisateurs doivent également envisager d’autoriser uniquement des types et modes de réponse OAuth limités.
« Vous n’utilisez peut-être aucun script tiers vulnérable aujourd’hui, mais si quelqu’un dans votre organisation introduit quelque chose de nouveau via Google Tag Manager ou similaire, ou si les scripts tiers changent, vous pouvez empêcher toute future fuite potentielle de jetons », a commenté Rosén. .
PLONGÉES PROFONDES Identifiants décentralisés : tout ce que vous devez savoir sur la technologie d’identification Web de nouvelle génération