חטיפת ספארי 4 אתרים מובילים עם פצצות פיש

ובכן, הנושא הזה הוא עניין מעניין שמצאתי בעת הערכת ספארי 4 Beta (v528.16). זה לא באג ה- XSS או CSRF הרגיל שלך הדורש פגיעות באתר, אלא דלת אחורית של דפדפן מתמשכת שמשפיעה על כל משתמשי Safari 4 המשתמשים בגירסאות 4.0.2 ומטה. די נדהמתי מכמה מהתכונות החדשות שמציעה הגרסה האחרונה של אפל’הדפדפן, במיוחד ההייפ אתרים מובילים ו זרימת הכיסוי. החלטתי לפרוץ את התכונה המגניבה הזו. הנה מה שמצאתי.


ייעוץ בנושא SECURETHOUGHTS.COM
- מזהה CVE: CVE-2009-2196
- תאריך שחרור: 11 באוגוסט, 2009
- התגלה על ידי: התופת

פגיע

ספארי 4 כל הגרסאות < 4.0.3
פלטפורמות מושפעות - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP ו- Vista

רקע כללי

ספארי הוא דפדפן אינטרנט שפותח על ידי Apple Inc. זהו דפדפן ברירת המחדל ב- Mac OS X v10.3 ומעלה. ספארי לפלטפורמת Microsoft Windows שוחרר לראשונה ב- 11 ביוני 2007 ותומך כיום הן ב- Windows XP והן ב- Windows Vista. המהדורה היציבה הנוכחית של הדפדפן היא 4.0.3 עבור Mac OS X ו- Windows. (מקור - ויקיפדיה).

Safari 4 הציג את התכונה Top Sites בכדי לספק מבט ממבט על המשתמש’אתרים מועדפים. זוהי התכונה המהממת ביותר של ספארי 4 ומשתמשת בה נרחב על ידי משתמשים כדי לקפוץ במהירות לאתרים בהם נעשה שימוש תכוף ויכולה לכלול בנקים, חשבונות דוא"ל, אתרי קניות וכו '.

תיאור

ייתכן שאתר זדוני יכול להכניס אתרים שרירותיים לתצוגת האתרים המובילים שלך באמצעות פעולות אוטומטיות. טכניקת ההתקפה עושה שימוש בחלונות ג'אווה סקריפט שבהם בחלון קטן משמש כדי לגלוש שוב ושוב לאתרים שונים שהתוקף רוצה להוסיף ברשימת האתרים המובילים שלך. חלון זה מוסתר לחלוטין באמצעות הפונקציה windows.blur והמשתמש זכה’אני יודע שזה קורה ברקע. שימו לב כי התקפה זו אינה אפשרית באמצעות iframes בלתי נראים שכן Safari אינה משתמשת בכתובות iframe כדי להחליט על תוכן אתרים מובילים..

ברגע שההתקפה תושלם, החלון הקטן ייסגר ובפעם הבאה שתשתמש ב- Safari Top Sites, יהיה זה התוקף’אתרים מוגדרים מחליפים את האתרים הלגיטימיים הקיימים שלך. כדי לקבל החלטה זו באילו אתרים להחליף, תוקף יכול להשתמש תחילה בהאק ההיסטוריה של CSS שנמצא על ידי ג'רמיה גרוסמן [2] ואז להגדיר אתרים מזויפים יחסית לאותו משתמש.’ביקר באתרים. מכאן, שזה יכול בקלות להקל על התקפת דיוג קשה. הספארי מחמיר את המצב’ההגנה הבלתי מספקת מפני התקפי ערפול כתובות אתרים כפי שהודגשה ב- [3], מה שמאפשר כמעט למשתמש רגיל לאתר את האתר המזויף ולהבדיל אותו מזה שהוא לגיטימי..

הוכחה של רעיון או תאוריה

https://securethoughts.com/b/q.htm
ה- PoC פועל כרגע תוך דקה, המבוסס על ערכי פרמטר הקלט השמרניים ביותר.

שני פרמטרי הקלט בהתקפה זו הם מספר הפעמים שיש לבקר באתר המזויף (n) (ברירת מחדל = 28) ופסק זמן (t) (ברירת מחדל = 2 שניות) שמפעילה מעבר בין שני אתרים מזויפים. זה פשוט מאוד ומוסיף שני אתרים מזויפים עבור bankofamerica.com ו- gmail.com לאתרים המובילים שלך. (זה לא בודק את היסטוריית הדפדפן שלך, אבל זה נשאר כתרגיל לקורא :):) ). כמו כן, ייתכן שיהיה עליך להגדיל את ערך הפרמטר של ‘n’ אם אתה מבקר באתרים המועדפים עליך לעתים קרובות מאוד.

תרחיש פריצה של העולם האמיתי ייראה כמו:

1. התוקף מזריק javascript זדוני
(א) האתר הרע שלו או שלה
(ב) באתר לגיטימי המאפשר javascript (למשל לוחות מודעות, לוחות מחוונים וכו ').

2. הקורבן מבקר באתר לעיל.

3. JavaScript זדוני פועל ובודק תחילה את היסטוריית הדפדפנים (באמצעות גרזן היסטוריית CSS [2]) מרשימת אלכסנדר טופ 500..

4. התוקף מחליף את המשתמש’ביקר באתרים עם אתרי דיוג מזויפים (הופך שמות נשמעים לגיטימיים עם ערפול URL).

5. בכל פעם שמשתמש פותח אתר דיוג ומקבל דף כניסה, משתמש’תעודות זה נגנב. התוקף יציג הודעת שגיאת כניסה, ומבקש מהמשתמש לנסות שוב מאוחר יותר. במקביל, התוקף יאפס את אתר הדיוג חזרה לדף הלגיטימי. בדרך זו, המשתמש לעולם לא יידע מה קרה.

6. בנימה אחרת, התוקף תמיד יכול לשמור על אתרי דיוג לפחות 1 או 2 בכל עת בכל האתרים המובילים. זה יעזור לתוקף לשמור על שליטה מתמשכת על משתמש’הפעלה של כל יום ובכל פעם שמשתמש מבקר באתר חדש, הוא יתגלה על ידי התוקף ויוחלף על ידי אתר דיוג ב- Top Sites.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

תיאור קבוע

סוגיה זו מטופלת על ידי מניעה של ביקורים אוטומטיים באתר להשפיע על רשימת האתרים המובילים. רק אתרים המוזנים ידנית בסרגל הכתובות נחשבים למוקמים בתצוגת האתרים המובילים.

פיתרון

שדרג ל- Safari 4.0.3.

עדכוני האבטחה של אפל זמינים באמצעות מנגנון עדכון התוכנה:
http://support.apple.com/kb/HT1338

עדכוני האבטחה של אפל זמינים גם להורדה ידנית באמצעות:
http://www.apple.com/support/downloads/

הפניות

1. עדכוני אבטחה של אפל
http://support.apple.com/kb/HT1222

2. ג'רמיה גרוסמן’היסטוריית CSS האק
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

נקודות זכות

הפגיעות מתגלה על ידי
תופת (inferno {at} securethoughts {dot} com)

זמן חשיפה

21 במאי 2009: הפגיעות התגלתה על ידי התופת.
21 במאי 2009: אפל יצרה קשר.
21 במאי 2009: תגובה אוטומטית של אפל.
26 במאי 2009: תגובה ראשונה מצוות האבטחה של אפל.
03 ביוני, 2009: עדכון הסטטוס הראשון שסופק על ידי אפל.
27 ביוני, 2009: עדכון סטטוס שני שסופק על ידי אפל.
24 ביולי, 2009: תיאום פרסום ציבורי של הייעוץ עם אפל.
11 באוגוסט 2009: עדכון תוכנה וייעוץ ציבורי שהונפק על ידי אפל.

ברצוני להודות לצוות האבטחה של אפל על התגובות שלהם בזמן, להבנת החומרה הגבוהה של סוגיה זו ושחרור תיקון בפרק זמן סביר..

דפדפני Chrome וגם האופרה מציעים תכונות דומות, אך אינן מושפעות מפגיעות זו. Chrome מאפשר רק כתובות אתר שהוקלדו ידנית בסרגל הכתובות להיכנס אל “הכי מבקרים” עמוד הפתיחה, ואילו אופרה דורשת מהמשתמש להוסיף במפורש את דף האינטרנט המועדף עליו או ככניסה לחיוג מהיר. ל- IE אין את התכונה הזו, ולכן זה לא מושפע מכך.

פגשתי השנה כמה אנשים מעניינים ב- BlackHat ו- Defcon מאפל, מיקרוסופט, WhiteHat, SecTheory, McAfee, Paypal וכו '. אחד האנשים שפגשתי היה דניאל הררה מ- SecTheory. הוא אמר לי כמה מהמחקרים שביצע, אחד מהם היה אנומליה דומה ב- Top Sites. הוא שמח מאוד לדעת שאפל מתקנת את הבעיה. בעתיד הקרוב הוא ישתף אותנו ברעיונות המגניבים שלו. זה כולל כמה מהפגיעויות שהוא עובד עבור אופרה.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me