Отвличане на сафари 4 топ сайтове с фиши бомби

Е, този е интересен проблем, който открих, докато оценявах Safari 4 Beta (v528.16). Това не е обичайната ви грешка в XSS или CSRF, която изисква уязвимост на сайта, а постоянна задна врата на браузъра, която засяга всички Safari 4 потребители, използващи версии 4.0.2 и по-нови. Бях доста изумен от някои от новите функции, предлагани от най-новата версия на Apple’s браузър, особено hyped Топ сайтове и Cover Flow. Реших да хакна тази готина функция. Ето какво открих.


SECURETHOUGHTS.COM СЪВЕТНОСТ
- CVE-ID: CVE-2009-2196
- Дата на издаване: 11 август 2009 г.
- Открито от: Inferno

УЯЗВИМИ

Safari 4 всички версии < 4.0.3
Засегнати платформи - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP и Vista

ЗАДЕН ПЛАН

Safari е уеб браузър, разработен от Apple Inc. Той е браузър по подразбиране в Mac OS X v10.3 и по-нови версии. Safari за платформата Microsoft Windows за първи път пусна на 11 юни 2007 г. и понастоящем поддържа както Windows XP, така и Windows Vista. Текущата стабилна версия на браузъра е 4.0.3 за Mac OS X и Windows. (Източник - Уикипедия).

Safari 4 представи функцията Top Sites, за да осигури поглед върху потребителя’s любими уебсайтове. Това е най-разчупената функция на Safari 4 и се използва широко от потребителите за бързо преминаване към често използваните сайтове, които могат да включват техните банки, имейл акаунти, сайтове за пазаруване и т.н..

ОПИСАНИЕ

Възможно е злонамерен уебсайт да постави произволни сайтове във вашия изглед на най-добрите сайтове чрез автоматизирани действия. Техниката за атака използва прозорци с JavaScript, където в малък прозорец се използва за многократно преглеждане на различни сайтове, които атакуващият иска да добави в списъка си с най-добри сайтове. Този прозорец е напълно скрит с помощта на функцията window.blur и потребителят спечели’не знам, че това се случва на заден план. Моля, обърнете внимание, че тази атака не е възможна с използване на невидими рамки, тъй като Safari не използва URL адреси на iframe за определяне на съдържанието на най-добрите сайтове.

След като атаката завърши изпълнението, малкият прозорец се затваря и следващия път, когато използвате Safari Top Sites, ще бъде нападателят’Определените сайтове заменят съществуващите ви законни сайтове. За да вземе това решение с кои сайтове да замени, нападател може първо да използва CSS History Hack, намерен от Jeremiah Grossman [2], и след това съответно да зададе фалшиви сайтове спрямо тези потребители’посетени уебсайтове. Следователно, това лесно може да улесни сериозна атака с фишинг. Ситуацията се влошава от Сафари’s неадекватна защита срещу атаки на обфуксация на URL, както е подчертано в [3], което прави почти невъзможно за редовен потребител да забележи фалшивия сайт и да го разграничи от законния.

ДОКАЗВАНЕ НА КОНЦЕПЦИЯТА

https://securethoughts.com/b/q.htm
В момента PoC работи за по-малко от минута, която се основава на повечето консервативни стойности на входните параметри.

Двата входни параметъра в тази атака са броя на посещенията на фалшивия уебсайт (n) (по подразбиране = 28) и изчакване (t) (по подразбиране = 2 сек), което задейства превключване между два фалшиви уебсайта. Много е проста и добавя два фалшиви уебсайта за bankofamerica.com и gmail.com към вашите най-добри сайтове. (не проверява историята на браузъра ви, но това е оставено като упражнение за читателя :):) ). Също така може да се наложи да увеличите стойността на параметъра на ‘н’ ако посещавате любимите си сайтове много често.

Сценарий за хакерство в реалния свят ще изглежда така:

1. Нападателят инжектира злонамерен JavaScript
(а) Неговият зъл сайт ИЛИ
(b) На легитимен сайт, който позволява JavaScript (напр. табла, табла за управление и др.).

2. Жертвата посещава горепосочения сайт.

3. Избягва се злонамерен Javascript и първо проверява историята на браузъра (използвайки CSS History hack [2]) от списък на Alexa Top 500.

4. Нападателят замества потребителя’посещавани сайтове с фалшиви фишинг сайтове (прави законни звучащи имена с обфуксация на URL адреса).

5. Всеки път, когато потребителят отвори фишинг сайт и получи страница за вход, потребител’s пълномощията се крадат. Нападателят ще представи съобщение за грешка при влизане, като помоли потребителя да опита отново по-късно. В същото време нападателят ще нулира този фишинг сайт обратно на законната страница. По този начин потребителят никога няма да разбере какво се е случило.

6. В друга бележка, нападателят винаги може да поддържа най-малко 1 или 2 фишинг уебсайтове по всяко време в Топ сайтове. Това ще помогне на нападателя да поддържа постоянен контрол върху потребител’сесия и всеки път, когато потребителят посети нов сайт, той ще бъде открит от нападателя и ще бъде заменен от фишинг сайт в Топ сайтове.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

ФИКС ОПИСАНИЕ

Този проблем е решен, като не позволява автоматизираните посещения на уебсайт да засегнат списъка с най-популярни сайтове. Само уебсайтове, които са ръчно въведени в адресната лента на URL адреса, се считат за поставени в изгледа „Най-популярни сайтове“.

РЕШЕНИЕ

Надграждане до Safari 4.0.3.

Актуализациите за сигурност на Apple са достъпни чрез механизма за актуализиране на софтуера:
http://support.apple.com/kb/HT1338

Актуализациите за сигурност на Apple са достъпни и за ръчно изтегляне чрез:
http://www.apple.com/support/downloads/

ПРЕПРАТКИ

1. Актуализации на сигурността на Apple
http://support.apple.com/kb/HT1222

2. Йеремия Гросман’s CSS History Hack
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

КРЕДИТИ

Тази уязвимост е открита от
Inferno (inferno {at} secureffsts {dot} com)

ВРЕМЕ ЗА ОТКРИВАНЕ

21 май 2009 г.: Уязвимостта е открита от Inferno.
21 май 2009 г.: Apple се свърза.
21 май 2009 г.: Автоматичен отговор от Apple.
26 май 2009 г.: Първи отговор от екипа за сигурност на Apple.
03 юни 2009 г.: Първа актуализация на състоянието, предоставена от Apple.
27 юни 2009 г .: Втора актуализация на състоянието, предоставена от Apple.
24 юли 2009 г.: Координирано публично съобщение на Advisory with Apple.
11 август 2009 г.: Актуализация на софтуера и публични консултации, издадени от Apple.

Бих искал да благодаря на екипа за сигурност на Apple за техните навременни отговори, разбиране на високата тежест на този проблем и освобождаване на кръпка в разумен период от време.

Както браузърите Chrome, така и Opera предлагат подобни функции, но не се влияят от тази уязвимост. Chrome позволява само ръчно въведени URL адреси в адресната лента да влизат в “Най-посещаван” начална страница, докато Opera изисква от потребителя изрично да добави любимата си уеб страница като запис за бързо набиране. IE няма тази функция, така че не се влияе от това.

Тази година срещнах няколко интересни хора в BlackHat и Defcon от Apple, Microsoft, WhiteHat, SecTheory, McAfee, Paypal и др. Един от хората, които срещнах, беше Даниел Херера от SecTheory. Той ми разказа някои от изследванията, които е правил, едно от които беше подобна аномалия в Top Sites. Той беше много щастлив да разбере, че Apple решава този проблем. В близко бъдеще той ще сподели с нас своите готини идеи. Това включва някои от уязвимостите, над които работи за Opera.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me