Взлом Safari 4 лучших сайта с фиш-бомбами

Это интересная проблема, которую я обнаружил при оценке Safari 4 Beta (v528.16). Это не обычная ошибка XSS или CSRF, которая требует уязвимости сайта, а постоянный бэкдор браузера, который затрагивает всех пользователей Safari 4, использующих версии 4.0.2 и ниже. Я был довольно удивлен некоторыми из новых функций, предлагаемых последней версией Apple’браузер, особенно раскрученный Лучшие сайты и Cover Flow. Я решил взломать эту классную функцию. Вот что я нашел.


SECURETHOUGHTS.COM ADVISORY
- CVE-ID: CVE-2009-2196
- Дата выхода: 11 августа 2009 г.
- Открыт: Inferno

УЯЗВИМЫМИ

Safari 4 все версии < 4.0.3
Затронутые платформы - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP и Vista

ФОН

Safari - это веб-браузер, разработанный Apple Inc. Это браузер по умолчанию в Mac OS X v10.3 и выше. Safari для платформы Microsoft Windows, впервые выпущенный 11 июня 2007 года, в настоящее время поддерживает как Windows XP, так и Windows Vista. Текущая стабильная версия браузера - 4.0.3 для Mac OS X и Windows. (Источник - Википедия).

В Safari 4 появилась функция «Лучшие сайты», которая позволяет сразу же увидеть пользователя.’любимые сайты. Это наиболее разрекламированная функция Safari 4, которая широко используется пользователями для быстрого перехода к часто используемым сайтам, которые могут включать их банки, учетные записи электронной почты, сайты покупок и т. Д..

ОПИСАНИЕ

Вредоносный веб-сайт может размещать произвольные сайты в представлении «Лучшие сайты» с помощью автоматических действий. Техника атаки использует окна javascript, в которых в небольшом окне многократно просматриваются разные сайты, которые злоумышленник хочет добавить в список самых популярных сайтов. Это окно полностью скрыто с помощью функции window.blur и пользователь выиграл’Не знаю, что происходит на заднем плане. Обратите внимание, что эта атака невозможна с использованием невидимых iframe, поскольку Safari не использует URL-адреса iframe для определения содержания Top Sites..

Когда атака завершается, небольшое окно закрывается, и в следующий раз, когда вы используете Safari Top Sites, у него будет злоумышленник.’Определенные сайты заменяют ваши существующие законные сайты. Чтобы принять решение о том, какие сайты заменять, злоумышленник может сначала использовать CSS History Hack, найденный Джеремией Гроссманом [2], а затем соответствующим образом установить поддельные сайты относительно этого пользователя.’посещенные сайты. Следовательно, это может легко облегчить серьезную фишинговую атаку. Ситуация усугубляется сафари’• недостаточная защита от атак, связанных с запутыванием URL-адресов, как показано в [3], из-за чего обычный пользователь практически не может обнаружить поддельный сайт и отличить его от легитимного..

ДОКАЗАТЕЛЬСТВО КОНЦЕПЦИИ

https://securethoughts.com/b/q.htm
PoC в настоящее время выполняется менее чем за минуту, что основано на самых консервативных значениях входных параметров.

Двумя входными параметрами в этой атаке являются количество посещений поддельного веб-сайта (n) (по умолчанию = 28) и время ожидания (t) (по умолчанию = 2 с), которое вызывает переключение между двумя поддельными веб-сайтами. Это очень просто и добавляет два фальшивых веб-сайта для bankofamerica.com и gmail.com на ваши лучшие сайты. (он не проверяет историю вашего браузера, но это оставлено в качестве упражнения для читателя :):) ). Кроме того, вам может потребоваться увеличить значение параметра ‘N’ если вы посещаете свои любимые сайты очень часто.

Реальный сценарий взлома будет выглядеть так:

1. Злоумышленник вводит вредоносный JavaScript
(а) Его или ее злой сайт ИЛИ
(b) На законном сайте, где разрешен JavaScript (например, доски объявлений, информационные панели и т. д.).

2. Жертва посещает вышеуказанный сайт.

3. Вредоносный javascript запускается и сначала проверяет историю браузера (используя хак истории CSS [2]) из списка Alexa Top 500.

4. Атакующий заменяет пользователя’s посещенные сайты с поддельными фишинговыми сайтами (делает законно звучащие имена с запутыванием URL).

5. Каждый раз, когда пользователь открывает фишинговый сайт и получает страницу входа, пользователь’s учетные данные будут украдены. Атакующий выдаст сообщение об ошибке входа в систему, попросив пользователя повторить попытку позже. В то же время злоумышленник вернет этот фишинговый сайт обратно на допустимую страницу. Таким образом, пользователь никогда не узнает, что случилось.

6. С другой стороны, злоумышленник всегда может держать как минимум 1 или 2 фишинговых сайта в топ-сайтах. Это поможет злоумышленнику сохранить постоянный контроль над пользователем’сессия и каждый раз, когда пользователь посещает новый сайт, он будет обнаружен злоумышленником и заменен фишинговым сайтом в топ-сайтах..

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

ОПИСАНИЕ ИСПРАВЛЕНИЯ

Эта проблема решается путем предотвращения влияния автоматических посещений веб-сайтов на список самых популярных сайтов. Только веб-сайты, которые вводятся вручную в адресную строку URL, считаются размещенными в представлении «Лучшие сайты»..

РЕШЕНИЕ

Обновление до Safari 4.0.3.

Обновления безопасности Apple доступны через механизм обновления программного обеспечения:
http://support.apple.com/kb/HT1338

Обновления безопасности Apple также доступны для ручной загрузки через:
http://www.apple.com/support/downloads/

ССЫЛКИ

1. Обновления безопасности Apple
http://support.apple.com/kb/HT1222

2. Иеремия Гроссман’s CSS History Hack
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

КРЕДИТЫ

Эта уязвимость обнаружена
Inferno (inferno {at} secureblyts {dot} com)

СРОКИ РАСКРЫТИЯ

21 мая 2009: Inferno обнаружила уязвимость.
21 мая 2009: Apple связалась.
21 мая 2009 г .: автоматический ответ от Apple.
26 мая 2009 г .: первый ответ от команды безопасности Apple.
03 июня 2009: первое обновление статуса предоставлено Apple.
27 июня 2009: второе обновление статуса предоставлено Apple.
24 июля 2009 г .: скоординированный публичный выпуск консультативной помощи с Apple.
11 августа 2009: Apple выпустила обновление программного обеспечения и общественную консультацию.

Я хотел бы поблагодарить Apple Security Team за их своевременные ответы, понимание серьезности этой проблемы и выпуск исправления в разумные сроки.

Браузеры Chrome и Opera предлагают схожие функции, но не подвержены этой уязвимости. Chrome позволяет вводить вручную URL-адреса в адресной строке только в “Самый посещаемый” стартовая страница, в то время как Opera требует, чтобы пользователь явно добавил свою любимую веб-страницу в качестве записи быстрого набора. IE не имеет этой функции, поэтому не зависит от этого.

В этом году я встретил несколько интересных людей в BlackHat и Defcon из Apple, Microsoft, WhiteHat, SecTheory, McAfee, Paypal и т. Д. Одним из тех, кого я встретил, был Даниэль Эррера из SecTheory. Он рассказал мне о некоторых исследованиях, которые он проводил, одним из которых была похожая аномалия в Top Sites. Он был очень рад узнать, что Apple исправляет эту проблему. В ближайшее время он поделится с нами своими классными идеями. Это включает в себя некоторые уязвимости, над которыми он работает для Opera.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me