Nolaupīšana Safari 4 populārākajās vietnēs ar Phish bumbām

Šis ir interesants jautājums, ko atradu, novērtējot Safari 4 Beta (v528.16). Šī nav tava parastā XSS vai CSRF kļūda, kurai nepieciešama vietnes ievainojamība, bet gan noturīgs pārlūka aizmugurējais vārts, kas ietekmē visus Safari 4 lietotājus, kuri izmanto versiju 4.0.2 un jaunāku. Es biju diezgan pārsteigts par dažām jaunajām iespējām, ko piedāvā jaunākā Apple versija’s pārlūks, īpaši hiped Populārākās vietnes un Pārsega plūsma. Es nolēmu uzlaupīt šo foršo funkciju. Lūk, ko es atradu.


SECURETHOUGHTS.COM PADOMDEVĒJS
- CVE-ID: CVE-2009-2196
- Izdošanas datums: 2009. gada 11. augusts
- Atklāja: Inferno

NEVAINĪGS

Safari 4 visas versijas < 4.0.3
Ietekmētās platformas - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP and Vista

PRIEKŠVĒSTURE

Safari ir Apple Inc. izstrādāta tīmekļa pārlūkprogramma. Tā ir noklusējuma pārlūks operētājsistēmā Mac OS X v10.3 un jaunākā versijā. Microsoft Windows platformas Safari pirmo reizi tika izlaists 2007. gada 11. jūnijā un šobrīd atbalsta gan Windows XP, gan Windows Vista. Pašreizējā stabilā pārlūka izlaišana ir 4.0.3 operētājsistēmai Mac OS X un Windows. (Avots - Wikipedia).

Safari 4 ieviesa funkciju Populārākās vietnes, lai sniegtu īsu lietotāja skatījumu’iecienītākās vietnes. Tā ir vissarežģītākā Safari 4 funkcija, ko lietotāji plaši izmanto, lai ātri pārietu uz savām bieži izmantotajām vietnēm, kurās var ietilpt bankas, e-pasta konti, iepirkšanās vietnes utt..

APRAKSTS

Ļaunprātīgai vietnei ir iespējams izvietot patvaļīgas vietnes jūsu populārāko vietņu skatā, izmantojot automatizētas darbības. Uzbrukuma tehnikā tiek izmantoti javascript logi, kur nelielā logā tiek atkārtoti izmantota pārlūkošana dažādās vietnēs, kuras uzbrucējs vēlas pievienot jūsu populārāko vietņu sarakstā. Šis logs ir pilnībā paslēpts, izmantojot funkciju window.blur, un lietotājs ir uzvarējis’t nezina, ka notiek fonā. Lūdzu, ņemiet vērā, ka šis uzbrukums nav iespējams, izmantojot neredzamus iframe kadrus, jo Safari neizmanto iframe URL, lai izlemtu par vietņu saturu.

Kad uzbrukums būs pabeigts, mazais logs tiks aizvērts, un nākamajā reizē, kad izmantosit Safari populārākās vietnes, tas būs uzbrucējs’noteiktas vietnes aizstāj jūsu esošās likumīgās vietnes. Lai pieņemtu lēmumu par vietnēm, kuras aizstāt, uzbrucējs vispirms var izmantot Džeremija Grosmaņa atrasto CSS vēstures haku [2] un pēc tam attiecīgi iestatīt viltotas vietnes attiecībā pret šo lietotāju’apmeklētās vietnes. Tādējādi tas varētu viegli atvieglot nopietnu pikšķerēšanas uzbrukumu. Situāciju pasliktina Safari’nepietiekama aizsardzība pret vietrāžu URL maldināšanas uzbrukumiem, kā uzsvērts [3], kas parastajam lietotājam padara gandrīz neiespējamu pamanīt viltus vietni un atšķirt to no likumīgas vietnes.

KONCEPTA PIERĀDĪJUMS

https://securethoughts.com/b/q.htm
PoC pašlaik darbojas mazāk nekā minūtē, kuras pamatā ir viskonservatīvākās ievades parametru vērtības.

Divi ievades parametri šajā uzbrukumā ir viltus vietnes apmeklēšanas reižu skaits (n) (noklusējums = 28) un noildze (t) (noklusējums = 2 sekundes), kas izraisa pārslēgšanos starp divām viltotām vietnēm. Tas ir ļoti vienkāršs un jūsu labākajām vietnēm pievieno divas viltotas vietnes bankofamerica.com un gmail.com. (tas nepārbauda jūsu pārlūkprogrammas vēsturi, bet tas tiek atstāts kā vingrinājums lasītājam :):) ). Jums, iespējams, būs jāpalielina parametra vērtība ‘n’ ja ļoti bieži apmeklējat savas iecienītās vietnes.

Reālas uzlaušanas scenārijs izskatās šādi:

1. Uzbrucējs injicē ļaunprātīgu javascript vietnē
(a) viņa vai viņas ļaunā vietne VAI
(b) likumīgā vietnē, kurā atļauts javascript (piemēram, ziņojumu dēļi, informācijas paneļi utt.).

2. Upuris apmeklē iepriekš minēto vietni.

3. Ļaunprātīgs javascript tiek palaists un vispirms tiek pārbaudīta pārlūka vēsture (izmantojot CSS vēstures hack [2]) no Alexa Top 500 saraksta..

4. Uzbrucējs aizstāj lietotāju’apmeklētās vietnes ar viltotām pikšķerēšanas vietnēm (padara likumīgus skanīgus vārdus ar URL apmulsināšanu).

5. Katru reizi, kad lietotājs atver pikšķerēšanas vietni un iegūst pieteikšanās lapu, lietotājs’s akreditācijas dati tiek nozagti. Uzbrucējs parādīs pieteikšanās kļūdas ziņojumu, lūdzot lietotājam mēģināt vēlāk vēlreiz. Tajā pašā laikā uzbrucējs atiestatīs šo pikšķerēšanas vietni atpakaļ uz likumīgo lapu. Tādā veidā lietotājs nekad neuzzinās, kas noticis.

6. Citā piezīmē, uzbrucējs vienmēr var atrast vismaz 1 vai 2 pikšķerēšanas vietnes populārākajās vietnēs. Tas palīdzēs uzbrucējam saglabāt pastāvīgu lietotāja kontroli’sesijas laikā un katru reizi, kad lietotājs apmeklē jaunu vietni, uzbrucējs to atpazīs, un vietnēs Populārākās vietnes to aizstās ar pikšķerēšanas vietni.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

FIX APRAKSTS

Šī problēma tiek novērsta, neļaujot automatizētiem vietņu apmeklējumiem ietekmēt populārāko vietņu sarakstu. Tiek uzskatīts, ka tikai vietnes, kuras manuāli ievadītas URL adreses joslā, tiek ievietotas skatā Populārākās vietnes.

RISINĀJUMS

Jaunināt uz Safari 4.0.3.

Apple drošības atjauninājumi ir pieejami, izmantojot programmatūras atjaunināšanas mehānismu:
http://support.apple.com/kb/HT1338

Apple drošības atjauninājumi ir pieejami arī manuālai lejupielādei, izmantojot:
http://www.apple.com/support/downloads/

ATSAUCES

1. Apple drošības atjauninājumi
http://support.apple.com/kb/HT1222

2. Džeremijs Grosmens’s CSS Vēsture Hack
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

KREDĪTI

Šo ievainojamību atklāj
Pazemīgs (zemāks par {at} drošām domām {dot} com)

ATKLĀŠANAS LAIKS

2009. gada 21. maijs: Inferno atklāja ievainojamību.
2009. gada 21. maijs: Apple sazinājās.
2009. gada 21. maijs: Automātiska Apple atbilde.
2009. gada 26. maijs: Pirmā Apple drošības komandas atbilde.
2009. gada 3. jūnijs: Apple nodrošina pirmā statusa atjauninājumu.
2009. gada 27. jūnijs: Apple nodrošina otro statusa atjauninājumu.
2009. gada 24. jūlijs: Koordinēta sabiedrības Apple konsultāciju izlaišana.
2009. gada 11. augusts: Apple izdod programmatūras atjauninājumu un publisko konsultāciju.

Es vēlos pateikties Apple Security Team par viņu savlaicīgo atbildi, izpratni par šīs problēmas lielo nopietnību un pieņemamā laika posmā plākstera izlaišanu.

Gan pārlūks Chrome, gan Opera piedāvā līdzīgas funkcijas, taču šī ievainojamība tos neietekmē. Pārlūks Chrome ļauj adreses joslā ievadīt tikai manuāli ievadītus URL “Visapmeklētākais” sākumlapa, turpretim Opera pieprasa, lai lietotājs skaidri pievieno savu iecienīto tīmekļa lapu kā ātrās sastādīšanas ierakstu. IE nav šīs funkcijas, tāpēc tas to neietekmē.

Šogad es satiku vairākus interesantus cilvēkus BlackHat un Defcon no Apple, Microsoft, WhiteHat, SecTheory, McAfee, Paypal utt. Viens no ļaudīm, kuru satiku, bija Daniels Herrera no SecTheory. Viņš man pastāstīja par dažiem viņa veiktajiem pētījumiem, no kuriem viens bija līdzīga anomālija populārākajās vietnēs. Viņš bija ļoti priecīgs uzzināt, ka Apple šo problēmu risina. Tuvākajā laikā viņš dalīsies ar mums savās foršajās idejās. Tas ietver dažas ievainojamības, pie kurām viņš strādā operētājsistēmā Opera.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me