此類攻擊針對的是網(wǎng)站以及網(wǎng)絡(luò)在線平臺中無處不在的賬戶創(chuàng)建過程，攻擊者能夠在毫無防備的受害者于目標服務(wù)中創(chuàng)建賬戶之前執(zhí)行一系列的行為。

此項研究是由個人安全研究員Avinash Sudhodanan與微軟安全響應(yīng)中心(MSRC）的Andrew Paverd 聯(lián)合展開的。

預劫持攻擊的前提條件是攻擊者能夠提前擁有與受害者相關(guān)的唯一標識符，例如電子郵件地址、電話號碼，或者其他信息，這些信息一般可以通過抓取受害者的社交媒體賬戶獲取，也可以通過轉(zhuǎn)儲那些因大量的數(shù)據(jù)泄露而在網(wǎng)上傳播的憑證來獲取。

此類攻擊有五種不同的方式，包括與受害者同時使用同一個電子郵件地址來注冊賬戶，這樣就有一定的可能性使攻擊者與受害者同時擁有訪問目標賬戶的權(quán)限。

預劫持的攻擊效果與普通劫持攻擊的一樣。兩者都可以使攻擊者在受害者不知情的情況下竊取受害者的機密信息，甚至可以利用服務(wù)的特性來冒充受害者。

研究人員表示，如果可以在受害者創(chuàng)建賬戶之前用其電子郵件地址在目標服務(wù)上創(chuàng)建一個賬戶，那么攻擊者就可以利用各種技術(shù)使賬戶進入預劫持的狀態(tài)。當受害者恢復訪問權(quán)限并開始使用賬戶時，攻擊者就可以重新訪問并接管該賬戶。

預劫持的五種攻擊方式如下：

(1) 典型-聯(lián)邦合并攻擊：攻擊者和受害者分別使用兩個與同一電子郵件地址關(guān)聯(lián)的身份創(chuàng)建兩個賬戶，這樣攻擊者就可以與受害者同時擁有訪問目標賬戶的權(quán)限了。

(2) 未過期的會話標識符攻擊：攻擊者首先使用受害者的電子郵件地址創(chuàng)建一個賬戶，并創(chuàng)建一個長期運行的活動會話。當用戶使用相同的電子郵件地址恢復賬戶時，攻擊者便可以繼續(xù)持有訪問權(quán)限，因為密碼重置并沒有終止攻擊者創(chuàng)建的會話。 

(3) 木馬標識符攻擊：攻擊者首先使用受害者的電子郵件地址創(chuàng)建一個賬戶，然后添加一個木馬標識符，例如次要的電子郵件地址或者攻擊者控制下的電話號碼。這樣，當受害者重置密碼，恢復訪問權(quán)時，攻擊者就可以使用木馬標識符重新獲取該賬戶的訪問權(quán)。

(4) 未過期的電子郵件更改攻擊：攻擊者首先使用受害者的電子郵件地址創(chuàng)建一個賬戶，然后將電子郵件地址更改為自己控制下的地址。當服務(wù)向新的電子郵件地址發(fā)送驗證URL時，攻擊者便開始等待受害者恢復并使用目標賬戶，然后完成電子郵件更改進程以奪取賬戶的控制權(quán)。

(5) 非驗證身份提供程序(IdP)攻擊：攻擊者首先使用非驗證的IdP創(chuàng)建一個具有目標服務(wù)的賬戶。當受害者通過經(jīng)典注冊路徑，用相同的電子郵件地址創(chuàng)建賬戶時，攻擊者就獲得了該賬戶的訪問權(quán)限。

在對Alexa排名中最受歡迎的前75個網(wǎng)站進行的實證評估中，在35個服務(wù)上發(fā)現(xiàn)了56個預劫持漏洞。其中包括13個經(jīng)典-聯(lián)邦合并攻擊，19個未過期的會話標識符攻擊，12個木馬標識符攻擊，11個未過期的電子郵件更改方式攻擊，以及一個跨越幾個IdP平臺的非驗證攻擊。

• Dropbox —— 未過期的電子郵件更改攻擊
• Instagram —— 木馬標識符攻擊
• LinkedIn —— 未過期的會話標識符攻擊
• Wordpress.com —— 未過期的會話標識符攻擊以及未過期的電子郵件更改攻擊
• Zoom —— 經(jīng)典-聯(lián)邦合并攻擊以及非驗證身份提供程序(IdP)攻擊

研究人員表示：遭受攻擊的根本原因……均是未能核實所聲稱標識符的所有權(quán)。

盡管許多服務(wù)的確在執(zhí)行此種類型的驗證，但他們通常是異步進行的，允許用戶可以在標識符被驗證之前使用賬戶的部分功能。雖然這樣可以提高其可用性（減少注冊時用戶之間的摩擦），但同時它也使用戶變得更加容易受到預劫持攻擊。”

盡管在服務(wù)中實現(xiàn)嚴格的標識符驗證對于緩解預劫持攻擊至關(guān)重要，但同時還是要建議用戶盡量使用多因素身份驗證(MFA)，來保護他們的賬戶。

研究人員表示： 正確實施MFA，不僅可以防止攻擊者在受害者開始使用預劫持賬戶后，再對該賬戶進行身份驗證，而且可以使所有在MFA激活之前創(chuàng)建的會話失效，以防止未過期的會話攻擊?！?/p>

除此之外，對于在線服務(wù)，建議定期刪除那些未經(jīng)驗證的賬戶、強制執(zhí)行低窗口來對電子郵件地址的更改進行驗證，并使會話在密碼重置期間失效，從而實現(xiàn)賬戶管理的深入防御。

Sudhodanan和 Paverd 表示，服務(wù)需要將通過典型路徑創(chuàng)建的賬戶與通過聯(lián)邦創(chuàng)建的賬戶進行合并時，必須事前確保是用戶本人在控制這兩個賬戶。

點評

無論是網(wǎng)絡(luò)平臺還是用戶個人，安全意識的缺乏都使得預劫持攻擊有機可乘。對于網(wǎng)站或在線平臺，事先核實用戶實際擁有的所有標識符，然后再去創(chuàng)建新賬戶或?qū)⑵涮砑又连F(xiàn)有賬戶是很有必要的。而對于用戶，應(yīng)盡可能地啟用多因素認證機制。同時，收到并非自己創(chuàng)建的賬戶郵件也是預劫持攻擊的重要跡象，需及時向相關(guān)平臺反饋。