Hijacking Safari 4 Situs Top dengan Bom Phish

Nah, ini adalah masalah menarik yang saya temukan saat mengevaluasi Safari 4 Beta (v528.16). Ini bukan bug XSS atau CSRF Anda yang biasa yang membutuhkan kerentanan situs, tetapi backdoor browser yang terus-menerus yang memengaruhi semua pengguna Safari 4 menggunakan versi 4.0.2 dan di bawah. Saya cukup kagum dengan beberapa fitur baru yang ditawarkan oleh Apple versi terbaru’Browser, terutama hyped Situs Teratas dan Cover Flow. Saya memutuskan untuk meretas fitur keren ini. Inilah yang saya temukan.


PENASIHAT SECURETHOUGHTS.COM
- CVE-ID: CVE-2009-2196
- Tanggal Rilis: 11 Agustus 2009
- Ditemukan oleh: Inferno

Rentan

Safari 4 semua versi < 4.0.3
Platform yang terpengaruh - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP dan Vista

LATAR BELAKANG

Safari adalah browser web yang dikembangkan oleh Apple Inc. Ini adalah browser default di Mac OS X v10.3 dan lebih tinggi. Safari untuk platform Microsoft Windows pertama kali dirilis pada 11 Juni 2007 dan saat ini mendukung Windows XP dan Windows Vista. Rilis stabil browser saat ini adalah 4.0.3 untuk Mac OS X dan Windows. (Sumber - Wikipedia).

Safari 4 memperkenalkan fitur Top Sites untuk memberikan pandangan sekilas kepada pengguna’Situs web favorit. Ini adalah fitur yang paling hyped dari Safari 4 dan banyak digunakan oleh pengguna untuk dengan cepat melompat ke situs mereka yang sering digunakan yang dapat mencakup bank, akun email, situs belanja, dll..

DESKRIPSI

Dimungkinkan untuk situs web jahat untuk menempatkan situs sewenang-wenang ke tampilan Situs Top Anda melalui tindakan otomatis. Teknik serangan menggunakan jendela javascript di mana di jendela kecil digunakan untuk berulang kali menelusuri ke berbagai situs yang ingin ditambahkan oleh penyerang di daftar Situs Top Anda. Jendela ini sepenuhnya disembunyikan menggunakan fungsi window.blur dan pengguna menang’Saya tidak tahu apa yang terjadi di latar belakang. Harap perhatikan bahwa serangan ini tidak mungkin menggunakan iframe yang tidak terlihat karena Safari tidak menggunakan url iframe untuk memutuskan konten Situs Teratas.

Setelah serangan menyelesaikan eksekusi, jendela kecil ditutup dan saat berikutnya Anda menggunakan Situs Teratas Safari, itu akan memiliki penyerang’Situs yang ditentukan menggantikan situs resmi Anda yang sudah ada. Untuk membuat keputusan tentang situs mana yang akan diganti, penyerang dapat pertama-tama menggunakan Hack Riwayat CSS yang ditemukan oleh Jeremiah Grossman [2] dan kemudian dengan demikian mengatur situs palsu relatif terhadap pengguna tersebut’S mengunjungi situs web. Oleh karena itu, ini dapat dengan mudah memfasilitasi serangan phishing yang serius. Situasi diperparah oleh Safari’perlindungan yang tidak memadai terhadap serangan kebingungan URL seperti yang disorot dalam [3], yang membuatnya hampir mustahil bagi pengguna biasa untuk menemukan situs palsu dan membedakannya dari yang sah.

BUKTI DARI KONSEP

https://securethoughts.com/b/q.htm
PoC saat ini berjalan di bawah satu menit, yang didasarkan pada sebagian besar nilai parameter input konservatif.

Dua parameter input dalam serangan ini adalah berapa kali situs web palsu harus dikunjungi (n) (default = 28) dan batas waktu (t) (default = 2 detik) yang memicu pergantian di antara dua situs web palsu. Ini sangat sederhana dan menambahkan dua situs web palsu untuk bankofamerica.com dan gmail.com ke situs teratas Anda. (itu tidak memeriksa riwayat browser Anda, tapi itu dibiarkan sebagai latihan untuk pembaca :):) ). Juga, Anda mungkin harus meningkatkan nilai parameter ‘n’ jika Anda mengunjungi situs favorit Anda sangat sering.

Skenario peretasan dunia nyata akan terlihat seperti:

1. Penyerang menginjeksi javascript berbahaya
(a) Situs jahatnya ATAU
(B) Di situs yang sah yang memungkinkan javascript (mis. papan buletin, dasbor, dll).

2. Korban mengunjungi situs di atas.

3. Javascript berbahaya berjalan dan pertama memeriksa riwayat browser (menggunakan hack history CSS [2]) dari daftar Alexa Top 500.

4. Penyerang menggantikan pengguna’s mengunjungi situs dengan situs phishing palsu (membuat nama yang terdengar sah dengan kebingungan url).

5. Setiap kali pengguna membuka situs phishing dan mendapatkan halaman login, pengguna’Kredensial dicuri. Penyerang akan menyajikan pesan kesalahan masuk, meminta pengguna untuk mencoba lagi nanti. Pada saat yang sama, penyerang akan mengatur ulang situs phishing itu kembali ke halaman yang sah. Dengan cara ini, pengguna tidak akan pernah tahu apa yang terjadi.

6. Pada catatan lain, penyerang selalu dapat menjaga setidaknya 1 atau 2 situs web phishing setiap saat di Situs Teratas. Ini akan membantu penyerang untuk mempertahankan kontrol pengguna yang persisten’Sesi dan setiap kali pengguna mengunjungi situs baru, itu akan terdeteksi oleh penyerang dan akan digantikan oleh situs phishing di Situs Teratas.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

DESKRIPSI TETAP

Masalah ini diatasi dengan mencegah kunjungan situs web otomatis dari mempengaruhi daftar Situs Top. Hanya situs web yang dimasukkan secara manual di bilah alamat url yang dianggap ditempatkan di tampilan Situs Teratas.

LARUTAN

Tingkatkan ke Safari 4.0.3.

Pembaruan keamanan Apple tersedia melalui mekanisme Pembaruan Perangkat Lunak:
http://support.apple.com/kb/HT1338

Pembaruan keamanan Apple juga tersedia untuk unduhan manual melalui:
http://www.apple.com/support/downloads/

REFERENSI

1. Pembaruan Keamanan Apple
http://support.apple.com/kb/HT1222

2. Yeremia Grossman’s Riwayat Hack CSS
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

KREDIT

Kerentanan ini ditemukan oleh
Inferno (inferno {at} securethoughts {dot} com)

WAKTU PENGUNGKAPAN

21 Mei 2009: Kerentanan ditemukan oleh Inferno.
21 Mei 2009: Apple menghubungi.
21 Mei 2009: Respons otomatis dari Apple.
26 Mei 2009: Tanggapan pertama dari Tim Keamanan Apple.
03 Jun 2009: Pembaruan Status Pertama disediakan oleh Apple.
27 Juni 2009: Pembaruan Status Kedua disediakan oleh Apple.
24 Jul 2009: Pelepasan Penasihat publik terkoordinasi dengan Apple.
11 Agustus 2009: Pembaruan Perangkat Lunak dan Penasihat Publik yang dikeluarkan oleh Apple.

Saya ingin berterima kasih kepada Tim Keamanan Apple atas tanggapan mereka yang tepat waktu, memahami tingkat keparahan masalah ini dan merilis tambalan dalam periode waktu yang wajar.

Baik browser Chrome dan Opera menawarkan fitur serupa, tetapi tidak terpengaruh oleh kerentanan ini. Chrome hanya mengizinkan url yang diketik secara manual di bilah alamat untuk masuk ke “Sering dikunjungi” halaman awal, sedangkan Opera mengharuskan pengguna untuk secara eksplisit menambahkan halaman web favoritnya sebagai entri panggilan cepat. IE tidak memiliki fitur ini, jadi tidak terpengaruh oleh ini.

Saya bertemu beberapa orang yang menarik di BlackHat dan Defcon tahun ini dari Apple, Microsoft, WhiteHat, SecTheory, McAfee, Paypal, dll. Salah satu orang yang saya temui adalah Daniel Herrera dari SecTheory. Dia mengatakan kepada saya beberapa penelitian yang telah dia lakukan, salah satunya adalah anomali serupa di Top Sites. Dia sangat senang mengetahui bahwa Apple sedang memperbaiki masalah ini. Dalam waktu dekat, dia akan berbagi dengan kami ide-idenya yang keren. Ini termasuk beberapa kerentanan yang sedang dikerjakannya untuk Opera.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me