Détournement de Safari 4 des meilleurs sites avec des bombes phishing

Eh bien, celui-ci est un problème intéressant que j'ai trouvé lors de l'évaluation de Safari 4 Beta (v528.16). Ce n'est pas votre bogue XSS ou CSRF habituel qui nécessite une vulnérabilité de site, mais une porte dérobée persistante du navigateur qui affecte tous les utilisateurs de Safari 4 utilisant les versions 4.0.2 et inférieures. J'ai été assez étonné de certaines des nouvelles fonctionnalités offertes par la dernière version d'Apple’navigateur de s, en particulier l'hyped Meilleurs sites et Flux de couverture. J'ai décidé de pirater cette fonctionnalité intéressante. Voici ce que j'ai trouvé.


AVIS DE SECURETHOUGHTS.COM
- ID CVE: CVE-2009-2196
- Date de sortie: 11 août 2009
- Découvert par: Inferno

VULNÉRABLE

Safari 4 toutes versions < 4.0.3
Plateformes concernées - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP et Vista

CONTEXTE

Safari est un navigateur Web développé par Apple Inc. C'est le navigateur par défaut dans Mac OS X v10.3 et supérieur. Safari pour la plate-forme Microsoft Windows est sorti pour la première fois le 11 juin 2007 et prend actuellement en charge Windows XP et Windows Vista. La version stable actuelle du navigateur est 4.0.3 pour Mac OS X et Windows. (Source - Wikipedia).

Safari 4 a introduit la fonctionnalité Top Sites pour fournir une vue d'ensemble d'un utilisateur’s sites Web préférés. C'est la fonctionnalité la plus populaire de Safari 4 et largement utilisée par les utilisateurs pour accéder rapidement à leurs sites fréquemment utilisés, qui peuvent inclure leurs banques, comptes de messagerie, sites commerciaux, etc..

LA DESCRIPTION

Il est possible qu'un site Web malveillant place des sites arbitraires dans votre vue Top Sites via des actions automatisées. La technique d'attaque utilise des fenêtres javascript où dans une petite fenêtre est utilisée pour parcourir à plusieurs reprises vers différents sites que l'attaquant souhaite ajouter dans votre liste des meilleurs sites. Cette fenêtre est complètement masquée à l'aide de la fonction window.blur et l'utilisateur a gagné’Je ne sais pas ce qui se passe en arrière-plan. Veuillez noter que cette attaque n'est pas possible en utilisant des iframes invisibles car Safari n'utilise pas les URL iframe pour décider du contenu des meilleurs sites.

Une fois l'attaque terminée, la petite fenêtre se ferme et la prochaine fois que vous utiliserez Safari Top Sites, l'attaquant aura’Les sites définis remplacent vos sites légitimes existants. Pour prendre la décision des sites à remplacer, un attaquant peut d'abord utiliser le CSS History Hack trouvé par Jeremiah Grossman [2], puis définir en conséquence de faux sites par rapport à ces utilisateurs.’s les sites Web visités. Par conséquent, cela pourrait facilement faciliter une attaque de phishing sérieuse. La situation est aggravée par le Safari’s une protection inadéquate contre les attaques d'obscurcissement d'URL, comme souligné dans [3], ce qui rend presque impossible pour un utilisateur régulier de repérer le faux site et de le différencier d'un site légitime.

PREUVE DE CONCEPT

https://securethoughts.com/b/q.htm
Le PoC fonctionne actuellement en moins d'une minute, ce qui est basé sur les valeurs de paramètres d'entrée les plus conservatrices.

Les deux paramètres d'entrée dans cette attaque sont le nombre de fois que le faux site Web doit être visité (n) (par défaut = 28) et le délai d'expiration (t) (par défaut = 2 s) qui déclenche un basculement entre deux faux sites Web. Il est très simple et ajoute deux faux sites Web pour bankofamerica.com et gmail.com à vos meilleurs sites. (il ne vérifie pas l'historique de votre navigateur, mais cela reste un exercice pour le lecteur :):) ). Vous devrez peut-être également augmenter la valeur du paramètre ‘n’ si vous visitez très souvent vos sites préférés.

Un scénario de piratage réel ressemblerait à:

1. L'attaquant injecte du javascript malveillant sur
(a) Son site malveillant OU
(b) Sur un site légitime qui autorise le javascript (par exemple les tableaux d'affichage, les tableaux de bord, etc.).

2. La victime visite le site ci-dessus.

3. Le javascript malveillant s'exécute et vérifie d'abord l'historique du navigateur (en utilisant le piratage de l'historique CSS [2]) à partir d'une liste d'Alexa Top 500.

4. L'attaquant remplace l'utilisateur’s sites visités avec de faux sites de phishing (rend les noms à consonance légitime avec obscurcissement d'url).

5. Chaque fois que l'utilisateur ouvre un site de phishing et obtient une page de connexion, l'utilisateur’s les informations d'identification sont volées. L'attaquant présentera un message d'erreur de connexion, demandant à l'utilisateur de réessayer plus tard. Dans le même temps, l'attaquant réinitialisera ce site de phishing sur la page légitime. De cette façon, l'utilisateur ne saura jamais ce qui s'est passé.

6. Sur une autre note, l'attaquant peut toujours conserver au moins 1 ou 2 sites de phishing à tout moment dans les meilleurs sites. Cela aidera l'attaquant à maintenir un contrôle persistant d'un utilisateur’s session et chaque fois que l'utilisateur visite un nouveau site, il sera détecté par l'attaquant et sera remplacé par un site de phishing dans Top Sites.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

DESCRIPTION DU CORRECTIF

Ce problème est résolu en empêchant les visites automatisées de sites Web d'affecter la liste des meilleurs sites. Seuls les sites Web entrés manuellement dans la barre d'adresse URL sont considérés comme placés dans la vue Top Sites.

SOLUTION

Mettre à niveau vers Safari 4.0.3.

Les mises à jour de sécurité Apple sont disponibles via le mécanisme de mise à jour logicielle:
http://support.apple.com/kb/HT1338

Les mises à jour de sécurité Apple sont également disponibles en téléchargement manuel via:
http://www.apple.com/support/downloads/

LES RÉFÉRENCES

1. Mises à jour de sécurité Apple
http://support.apple.com/kb/HT1222

2. Jeremiah Grossman’s CSS History Hack
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

CRÉDITS

Cette vulnérabilité est découverte par
Inferno (inferno {at} securethoughts {dot} com)

CALENDRIER DE DIVULGATION

21 mai 2009: vulnérabilité découverte par Inferno.
21 mai 2009: Apple contacté.
21 mai 2009: réponse automatisée d'Apple.
26 mai 2009: Première réponse de l'équipe de sécurité Apple.
03 juin 2009: première mise à jour du statut fournie par Apple.
27 juin 2009: deuxième mise à jour de statut fournie par Apple.
24 juil. 2009: Publication publique coordonnée de Advisory avec Apple.
11 août 2009: Mise à jour logicielle et avis public émis par Apple.

Je tiens à remercier l'équipe de sécurité Apple pour ses réponses en temps opportun, comprenant la gravité élevée de ce problème et libérant un correctif dans un délai raisonnable.

Les navigateurs Chrome et Opera offrent des fonctionnalités similaires, mais ne sont pas affectés par cette vulnérabilité. Chrome n'autorise que les URL saisies manuellement dans la barre d'adresse à “Le plus visité” page de démarrage, alors qu'Opera oblige un utilisateur à ajouter explicitement sa page Web préférée comme entrée de numérotation rapide. IE n'a pas cette fonctionnalité, il n'est donc pas affecté par cette.

J'ai rencontré plusieurs personnes intéressantes chez BlackHat et Defcon cette année d'Apple, Microsoft, WhiteHat, SecTheory, McAfee, Paypal, etc. L'une des personnes que j'ai rencontrées était Daniel Herrera de SecTheory. Il m'a dit certaines des recherches qu'il avait faites, dont l'une était une anomalie similaire dans Top Sites. Il était très heureux de savoir qu'Apple résout ce problème. Dans un futur proche, il partagera avec nous ses bonnes idées. Cela inclut certaines des vulnérabilités sur lesquelles il travaille pour Opera.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me