피싱 폭탄이있는 Safari 4 주요 사이트 하이재킹

글쎄, 이것은 Safari 4 Beta (v528.16)를 평가할 때 발견 한 흥미로운 문제입니다. 이것은 사이트 취약점이 필요한 일반적인 XSS 또는 CSRF 버그가 아니라 버전 4.0.2 이하를 사용하는 모든 Safari 4 사용자에게 영향을주는 영구적 인 브라우저 백도어입니다. 최신 버전의 Apple에서 제공하는 새로운 기능 중 일부에 놀랐습니다.’s 브라우저, 특히 과대 광고 인기 사이트커버 플로우. 이 멋진 기능을 해킹하기로 결정했습니다. 여기 내가 찾은 것입니다.


SECURETHOUGHTS.COM 자문
– CVE-ID : CVE-2009-2196
– 출시 날짜 : 2009 년 8 월 11 일
– 발견 자 : Inferno

취약

Safari 4 모든 버전 < 4.0.3
영향을받는 플랫폼 – Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP 및 Vista

배경

Safari는 Apple Inc.에서 개발 한 웹 브라우저입니다. Mac OS X v10.3 이상의 기본 브라우저입니다. 2007 년 6 월 11 일에 처음 릴리스 된 Microsoft Windows 플랫폼 용 Safari는 현재 Windows XP와 Windows Vista를 모두 지원합니다. Mac OS X 및 Windows 용 브라우저의 최신 안정 릴리스는 4.0.3입니다. (출처 – 위키 백과).

Safari 4는 사용자를 한 눈에 볼 수있는 인기 사이트 기능을 도입했습니다.’좋아하는 웹 사이트. Safari 4의 가장 과장된 기능이며 은행, 이메일 계정, 쇼핑 사이트 등을 포함하여 자주 사용하는 사이트로 빠르게 이동하기 위해 사용자가 널리 사용합니다..

기술

악의적 인 웹 사이트가 자동화 된 작업을 통해 임의의 사이트를 최상위 사이트보기에 배치 할 수 있습니다. 공격 기법은 작은 창에서 공격자가 상위 사이트 목록에 추가하려는 다른 사이트를 반복적으로 탐색하는 데 사용되는 자바 스크립트 창을 사용합니다. 이 창은 window.blur 기능을 사용하여 완전히 숨겨져 있습니다.’그것이 백그라운드에서 일어나고 있다는 것을 알지 못합니다. Safari는 iframe URL을 사용하여 최상위 사이트 컨텐츠를 결정하지 않으므로 보이지 않는 iframe을 사용하면이 공격을 수행 할 수 없습니다..

공격이 실행되면 작은 창이 닫히고 다음에 Safari Top Sites를 사용할 때 공격자가됩니다.’정의 된 사이트가 기존의 합법적 인 사이트를 대체합니다. 어떤 사이트로 교체할지 결정하기 위해 공격자는 먼저 Jeremiah Grossman [2]에서 찾은 CSS History Hack을 사용하여 해당 사용자와 관련하여 가짜 사이트를 설정할 수 있습니다’웹 사이트를 방문했습니다. 따라서 이것은 심각한 피싱 공격을 쉽게 촉진 할 수 있습니다. 상황은 사파리에 의해 악화된다’[3]에 강조 표시된대로 URL 난독 화 공격에 대한 부적절한 보호. 일반 사용자가 위조 된 사이트를 찾아서 합법적 인 사이트와 구별하기가 거의 불가능합니다..

개념의 증거

https://securethoughts.com/b/q.htm
PoC는 현재 가장 보수적 인 입력 매개 변수 값을 기반으로 1 분 이내에 실행됩니다..

이 공격의 두 가지 입력 매개 변수는 가짜 웹 사이트를 방문해야하는 횟수 (n) (기본값 = 28)와 시간 초과 (t) (기본값 = 2 초)로, 두 가짜 웹 사이트 간 전환을 트리거합니다. 매우 간단하며 bankofamerica.com 및 gmail.com에 대한 두 개의 가짜 웹 사이트를 최상위 사이트에 추가합니다. (브라우저 기록을 확인하지는 않지만 독자의 연습으로 남아 있습니다. :):) ). 또한 매개 변수 값을 늘려야 할 수도 있습니다. ‘엔’ 자주 방문하는 사이트를 자주 방문하면.

실제 해킹 시나리오는 다음과 같습니다.

1. 공격자는 악성 자바 스크립트를
(a) 자신의 사악한 사이트 또는
(b) 자바 스크립트를 허용하는 합법적 인 사이트 (예 : 게시판, 대시 보드 등).

2. 피해자는 위 사이트를 방문.

3. 악성 자바 스크립트가 실행되고 Alexa Top 500 목록에서 브라우저 기록 (CSS 기록 hack [2] 사용)을 먼저 확인합니다..

4. 공격자가 사용자를 교체’가짜 피싱 사이트가있는 사이트를 방문 함 (URL 난독 화로 합법적 인 사운드 이름 생성).

5. 사용자가 피싱 사이트를 열고 로그인 페이지를받을 때마다’자격 증명이 도용됩니다. 공격자는 로그인 오류 메시지를 표시하여 나중에 다시 시도하도록 요청합니다. 동시에 공격자는 해당 피싱 사이트를 합법적 인 페이지로 다시 설정합니다. 이런 식으로, 사용자는 무슨 일이 있었는지 알 수 없습니다.

6. 또 다른 참고로, 공격자는 항상 최상위 사이트에서 항상 최소한 1 또는 2 개의 피싱 웹 사이트를 유지할 수 있습니다. 이를 통해 침입자는 사용자를 지속적으로 제어 할 수 있습니다.’세션 및 사용자가 새 사이트를 방문 할 때마다 공격자가이를 감지하고 최상위 사이트에서 피싱 사이트로 대체됩니다..

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

설명 수정

이 문제는 자동화 된 웹 사이트 방문이 최상위 사이트 목록에 영향을 미치지 않도록하여 해결됩니다. URL 주소 표시 줄에 수동으로 입력 한 웹 사이트 만 최상위 사이트보기에있는 것으로 간주됩니다.

해결책

Safari 4.0.3으로 업그레이드.

Apple 보안 업데이트는 소프트웨어 업데이트 메커니즘을 통해 제공됩니다.
http://support.apple.com/kb/HT1338

Apple 보안 업데이트는 다음을 통해 수동으로 다운로드 할 수도 있습니다.
http://www.apple.com/support/downloads/

참조

1. 애플 보안 업데이트
http://support.apple.com/kb/HT1222

2. 예레미야 총잡이’CSS 역사 해킹
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

크레딧

이 취약점은 다음에 의해 발견되었습니다.
인페르노 (inferno {at} securethoughts {dot} com)

공개 일정

2009 년 5 월 21 일 : Inferno에서 발견 한 취약점.
2009 년 5 월 21 일 : Apple에 문의.
2009 년 5 월 21 일 : Apple의 자동 응답.
2009 년 5 월 26 일 : Apple 보안 팀의 첫 번째 응답.
2009 년 6 월 3 일 : Apple에서 제공 한 첫 번째 상태 업데이트.
2009 년 6 월 27 일 : Apple에서 제공하는 두 번째 상태 업데이트.
2009 년 7 월 24 일 : Apple과의 공동 자문 발표.
2009 년 8 월 11 일 : Apple에서 발행 한 소프트웨어 업데이트 및 공개 자문.

적시에 응답하여이 문제의 심각성을 이해하고 합리적인 기간 내에 패치를 발표 한 Apple Security Team에 감사의 말씀을 전합니다..

Chrome과 Opera 브라우저는 모두 비슷한 기능을 제공하지만이 취약점의 영향을받지는 않습니다. Chrome은 주소 표시 줄에 수동으로 입력 한 URL 만 “가장 많이 방문한” Opera는 사용자가 자신이 좋아하는 웹 페이지를 단축 다이얼 항목으로 명시 적으로 추가해야합니다. IE에는이 기능이 없으므로 이에 영향을받지 않습니다..

저는 올해 BlackHat과 Defcon에서 애플, Microsoft, WhiteHat, SecTheory, McAfee, Paypal 등에서 흥미로운 사람들을 만났습니다. 제가 만난 사람들 중 하나는 SecTheory의 Daniel Herrera입니다. 그는 자신이 수행 한 연구 중 일부를 말했습니다. 그 중 하나는 Top Sites에서 비슷한 변칙입니다. 그는 Apple이이 문제를 해결하고 있다는 사실에 매우 기뻤습니다. 가까운 장래에 그는 멋진 아이디어를 우리와 공유 할 것입니다. 여기에는 그가 Opera에서 작업중인 취약점 중 일부가 포함됩니다.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me