Hijacking Safari 4 Top Sites met Phish Bombs

Nou, dit is een interessant probleem dat ik heb gevonden tijdens het evalueren van Safari 4 Beta (v528.16). Dit is niet uw gebruikelijke XSS- of CSRF-bug die een kwetsbaarheid van de site vereist, maar een permanente achterdeur van de browser die gevolgen heeft voor alle Safari 4-gebruikers die versie 4.0.2 en lager gebruiken. Ik was behoorlijk verbaasd over enkele van de nieuwe functies van de nieuwste versie van Apple’s browser, vooral de hyped Top websites en Cover Flow. Ik besloot om deze coole functie te hacken. Hier is wat ik heb gevonden.


SECURETHOUGHTS.COM ADVIES
- CVE-ID: CVE-2009-2196
- Releasedatum: 11 augustus 2009
- Ontdekt door: Inferno

KWETSBAAR

Safari 4 alle versies < 4.0.3
Betrokken platforms - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP en Vista

ACHTERGROND

Safari is een webbrowser ontwikkeld door Apple Inc. Het is de standaardbrowser in Mac OS X v10.3 en hoger. Safari voor het Microsoft Windows-platform is voor het eerst uitgebracht op 11 juni 2007 en ondersteunt momenteel zowel Windows XP als Windows Vista. De huidige stabiele versie van de browser is 4.0.3 voor Mac OS X en Windows. (Bron - Wikipedia).

Safari 4 introduceerde de Top Sites-functie om een ​​overzicht van een gebruiker te bieden’s favoriete websites. Het is de meest gehypete functie van Safari 4 en wordt door gebruikers veel gebruikt om snel naar hun vaak gebruikte sites te gaan, waaronder hun banken, e-mailaccounts, winkelsites, enz..

BESCHRIJVING

Het is mogelijk voor een kwaadwillende website om willekeurige sites in uw Top Sites-weergave te plaatsen door geautomatiseerde acties. De aanvalstechniek maakt gebruik van javascript-vensters waarbij in een klein venster herhaaldelijk naar verschillende sites wordt gebladerd die de aanvaller in uw Top Sites-lijst wil toevoegen. Dit venster is volledig verborgen met de functie window.blur en de gebruiker heeft gewonnen’t weet dat dat op de achtergrond gebeurt. Houd er rekening mee dat deze aanval niet mogelijk is met behulp van onzichtbare iframes, omdat Safari geen iframe-URL's gebruikt om te beslissen over Top Sites-inhoud.

Zodra de aanval is uitgevoerd, wordt het kleine venster gesloten en de volgende keer dat u Safari Top Sites gebruikt, krijgt de aanvaller’s gedefinieerde sites vervangen uw bestaande legitieme sites. Om deze beslissing te nemen met welke sites te vervangen, kan een aanvaller eerst de CSS History Hack gebruiken die is gevonden door Jeremiah Grossman [2] en vervolgens nepsites instellen ten opzichte van die gebruiker’s bezochte websites. Daarom kan dit gemakkelijk een serieuze phishing-aanval vergemakkelijken. De situatie wordt verergerd door de Safari’s onvoldoende bescherming tegen URL-obfuscatie-aanvallen zoals aangegeven in [3], waardoor het voor een gewone gebruiker bijna onmogelijk is om de nep-site te vinden en te onderscheiden van een legitieme site.

BEWIJS VAN CONCEPT

https://securethoughts.com/b/q.htm
De PoC werkt momenteel binnen een minuut, die is gebaseerd op de meest conservatieve invoerparameterwaarden.

De twee invoerparameters in deze aanval zijn het aantal keren dat de nepwebsite moet worden bezocht (n) (standaard = 28) en time-out (t) (standaard = 2 sec) die een omschakeling tussen twee nepwebsites veroorzaakt. Het is heel eenvoudig en voegt twee nepwebsites voor bankofamerica.com en gmail.com toe aan uw topsites. (het controleert niet uw browsergeschiedenis, maar dat wordt achtergelaten als een oefening voor de lezer :):) ). Mogelijk moet u ook de parameterwaarde van verhogen ‘n’ als u uw favoriete sites vaak bezoekt.

Een realistisch scenario voor hacking zou er als volgt uitzien:

1. Aanvaller injecteert kwaadaardige javascript aan
(a) Zijn of haar slechte site OF
(b) Op een legitieme site die JavaScript toestaat (bijvoorbeeld bulletinboards, dashboards, enz.).

2. Slachtoffer bezoekt bovenstaande site.

3. Schadelijke JavaScript wordt uitgevoerd en controleert eerst de browsergeschiedenis (met behulp van de CSS-geschiedenishack [2]) uit een lijst met Alexa Top 500.

4. Aanvaller vervangt de gebruiker’s bezochte sites met nep phishing-sites (maakt legitiem klinkende namen met url-obfuscatie).

5. Elke keer dat de gebruiker een phishing-site opent en een inlogpagina krijgt, gebruiker’s inloggegevens worden gestolen. De aanvaller geeft een inlogfoutmelding en vraagt ​​de gebruiker om het later opnieuw te proberen. Tegelijkertijd zal de aanvaller die phishing-site opnieuw instellen op de legitieme pagina. Op deze manier zal de gebruiker nooit weten wat er is gebeurd.

6. In een ander geval kan de aanvaller altijd ten minste 1 of 2 phishing-websites te allen tijde in Topsites houden. Dit helpt de aanvaller om blijvende controle over een gebruiker te behouden’s sessie en elke keer dat de gebruiker een nieuwe site bezoekt, wordt deze gedetecteerd door de aanvaller en wordt deze vervangen door een phishing-site in Top Sites.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

FIX BESCHRIJVING

Dit probleem wordt verholpen door te voorkomen dat geautomatiseerde websitebezoeken de lijst Topsites beïnvloeden. Alleen websites die handmatig in de url-adresbalk worden ingevoerd, worden beschouwd als geplaatst in de weergave Topsites.

OPLOSSING

Upgrade naar Safari 4.0.3.

Apple-beveiligingsupdates zijn beschikbaar via het Software Update-mechanisme:
http://support.apple.com/kb/HT1338

Apple-beveiligingsupdates zijn ook beschikbaar voor handmatige download via:
http://www.apple.com/support/downloads/

Referenties

1. Apple-beveiligingsupdates
http://support.apple.com/kb/HT1222

2. Jeremiah Grossman’s CSS-geschiedenishack
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

CREDITS

Dit beveiligingslek is ontdekt door
Inferno (inferno {at} securethoughts {dot} com)

OPENBAARHEIDSTIJD

21 mei 2009: Kwetsbaarheid ontdekt door Inferno.
21 mei 2009: Apple heeft contact opgenomen.
21 mei 2009: geautomatiseerde reactie van Apple.
26 mei 2009: Eerste reactie van Apple Security Team.
3 juni 2009: Eerste statusupdate aangeboden door Apple.
27 juni 2009: Tweede statusupdate verstrekt door Apple.
24 juli 2009: Gecoördineerde openbare release van Advisory met Apple.
11 augustus 2009: Software-update en openbaar advies uitgegeven door Apple.

Ik wil Apple Security Team bedanken voor hun tijdige reacties, begrip voor de grote ernst van dit probleem en het vrijgeven van een patch binnen een redelijke periode.

Zowel Chrome als Opera-browsers bieden vergelijkbare functies, maar worden niet getroffen door dit beveiligingslek. Chrome staat alleen handmatig getypte URL's toe in de adresbalk “Meest bezochte” startpagina, terwijl Opera van een gebruiker vereist dat hij zijn of haar favoriete webpagina expliciet als snelkiesnummer toevoegt. IE heeft deze functie niet, dus wordt dit niet beïnvloed.

Ik heb dit jaar verschillende interessante mensen ontmoet bij BlackHat en Defcon van Apple, Microsoft, WhiteHat, SecTheory, McAfee, Paypal, enz. Een van de mensen die ik ontmoette was Daniel Herrera van SecTheory. Hij vertelde me wat van het onderzoek dat hij had gedaan, waaronder een soortgelijke anomalie in Top Sites. Hij was erg blij te weten dat Apple dit probleem oplost. In de nabije toekomst zal hij zijn coole ideeën met ons delen. Dit omvat enkele van de kwetsbaarheden waaraan hij werkt voor Opera.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me