• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Unexpired Session

Unexpired Session

Peretas dapat meretas akun online Anda bahkan sebelum Anda mendaftarkannya

May 25, 2022 by Eevee

Peneliti keamanan telah mengungkapkan bahwa peretas dapat membajak akun online Anda bahkan sebelum Anda mendaftarkannya dengan mengeksploitasi kelemahan yang telah diperbaiki di situs web populer, termasuk Instagram, LinkedIn, Zoom, WordPress, dan Dropbox.

Andrew Paverd, seorang peneliti di Microsoft Security Response Center, dan Avinash Sudhodanan, seorang peneliti keamanan independen, menganalisis 75 layanan online populer dan menemukan bahwa setidaknya 35 rentan terhadap serangan pra-pembajakan akun.

Serangan ini bervariasi dalam jenis dan tingkat keparahannya, tetapi semuanya berasal dari praktik keamanan yang buruk di sisi situs web itu sendiri.

Agar serangan pra-pembajakan bekerja, peretas perlu mengetahui alamat email target, yang relatif mudah melalui korespondensi email atau melalui berbagai pelanggaran data yang mengganggu perusahaan setiap hari.

Selanjutnya, penyerang membuat akun di situs yang rentan menggunakan alamat email target dan berharap korban mengabaikan pemberitahuan yang masuk ke kotak masuk mereka, menganggapnya sebagai spam. Terakhir, penyerang menunggu korban membuat akun di situs atau secara tidak langsung menipu mereka untuk melakukannya.

Alur serangan pra-pembajakan umum (Microsoft)

Selama proses ini, ada lima serangan berbeda yang dapat dilakukan oleh aktor ancaman, yaitu gabungan federasi klasik (CFM), ID sesi yang belum kedaluwarsa (AS), pengenal trojan (TID), perubahan email yang belum kedaluwarsa (UEC), dan Serangan penyedia identitas (IdP) (NV) yang tidak memverifikasi.

Dalam kasus pertama, CFM, platform yang rentan menggunakan penggabungan akun ketika target membuat akun dengan alamat email yang ada dan, dalam beberapa kasus, bahkan tidak memberi tahu mereka tentang fakta tersebut. Serangan ini bergantung pada pemberian opsi masuk tunggal (SSO) kepada korban, sehingga mereka tidak pernah mengubah kata sandi yang ditetapkan oleh penyerang.

Dalam serangan sesi yang belum kedaluwarsa, peretas membuat sesi tetap aktif setelah membuat akun menggunakan skrip otomatis. Saat korban membuat akun dan mengatur ulang kata sandi, sesi aktif mungkin tidak dibatalkan, sehingga penyerang dapat terus mengakses akun.

Metode pengenal trojan menggabungkan serangan Classic-Federated Merge dan Unexpired Session.

Dalam serangan UEC, penyerang membuat akun menggunakan alamat email korban dan kemudian mengirimkan permintaan perubahan untuk email itu tetapi tidak mengonfirmasinya. Kemudian, setelah korban melakukan reset kata sandi, penyerang memvalidasi perubahan dan mengambil alih kendali akun.

Terakhir, dalam serangan NV, pelaku ancaman mengeksploitasi kurangnya verifikasi kepemilikan IdP saat membuat akun, membuka jalan untuk menyalahgunakan layanan login berbasis cloud seperti Okta dan Onelogin.

Metode serangan pra-pembajakan (arxiv.org)

Banyak layanan saat ini mengharuskan pengguna baru untuk memvalidasi kepemilikan alamat email, sehingga membuat akun baru dengan alamat email orang lain tidak akan berfungsi tanpa akses ke akun email tersebut.

Untuk melewati ini, penyerang dapat membuat akun menggunakan alamat email mereka dan kemudian beralih ke alamat email korban, menyalahgunakan fungsi standar yang tersedia di sebagian besar layanan online.

Dalam beberapa kasus, layanan tidak memerlukan verifikasi kedua untuk alamat email baru, yang memungkinkan pelaku ancaman untuk memasang serangan yang dijelaskan di atas.

Studi menunjukkan bahwa ketersediaan serangan yang berbeda serupa, dengan masalah sesi yang belum kedaluwarsa menjadi yang paling umum dalam kumpulan data terbatas.

Beberapa contoh platform yang rentan adalah Dropbox (UEC), Instagram (TID), LinkedIn (AS), WordPress.com (AS dan UEC), dan Zoom (CFM dan NV).

Situs yang rentan terhadap pra-pembajakan akun (arxiv.org)

Para peneliti melaporkan masalah ini secara bertanggung jawab ke platform, banyak di antaranya memperbaikinya setelah mengkategorikannya sebagai tingkat keparahan yang tinggi.

Namun, penting untuk digarisbawahi bahwa temuan ini hanya menyangkut segelintir situs, dan harus ada lebih banyak lagi yang mengikuti praktik keamanan buruk serupa.

Masalah utama dengan subkategori masalah keamanan ini dan akar penyebab kerentanan yang teridentifikasi adalah kurangnya verifikasi yang ketat.

Untuk menangani risiko akun yang dibajak sebelumnya, pengguna dapat segera mengatur MFA (autentikasi multi-faktor) di akun mereka, yang juga akan memaksa semua sesi sebelumnya menjadi tidak valid.

Sumber: Bleeping Computer

Tagged With: Classic-Federated Merge, peretas, Unexpired Session

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo