การไฮแจ็ก Safari 4 สุดยอดเว็บไซต์ที่มี Phish Bombs

นี่เป็นปัญหาที่น่าสนใจที่ฉันพบขณะประเมิน Safari 4 Beta (v528.16) นี่ไม่ใช่ข้อผิดพลาด XSS หรือ CSRF ปกติของคุณซึ่งต้องการช่องโหว่ของไซต์ แต่เป็นเบราว์เซอร์ลับๆที่มีผลกระทบต่อผู้ใช้ Safari 4 ทุกคนที่ใช้เวอร์ชัน 4.0.2 และต่ำกว่า ฉันประหลาดใจมากที่ฟีเจอร์ใหม่ที่เสนอโดย Apple เวอร์ชันล่าสุด’เบราว์เซอร์โดยเฉพาะอย่างยิ่งการ hyped เว็บไซต์ยอดนิยม และ ปกคลุมไหล. ฉันตัดสินใจแฮ็คคุณสมบัติสุดเจ๋งนี้ นี่คือสิ่งที่ฉันพบ.


SECURETHOUGHTS.COM คำแนะนำ
- CVE-ID: CVE-2009-2196
- วันที่วางจำหน่าย: 11 สิงหาคม 2009
- ค้นพบโดย: นรก

เสี่ยง

Safari 4 ทุกรุ่น < 4.0.3
แพลตฟอร์มที่ได้รับผลกระทบ - Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, เซิร์ฟเวอร์ Mac OS X v10.5.7, Windows XP และ Vista

พื้นหลัง

Safari เป็นเว็บเบราว์เซอร์ที่พัฒนาโดย Apple Inc. เป็นเบราว์เซอร์เริ่มต้นใน Mac OS X v10.3 และสูงกว่า Safari สำหรับแพลตฟอร์ม Microsoft Windows เปิดตัวครั้งแรกเมื่อวันที่ 11 มิถุนายน 2550 และปัจจุบันรองรับทั้ง Windows XP และ Windows Vista เบราว์เซอร์รุ่นปัจจุบันที่เสถียรคือ 4.0.3 สำหรับ Mac OS X และ Windows (ที่มา - Wikipedia).

Safari 4 เปิดตัวฟีเจอร์ Top Sites เพื่อให้ผู้ใช้มองเห็นภาพรวมได้อย่างรวดเร็ว’เว็บไซต์โปรด มันเป็นฟีเจอร์ที่ถูกหลอกล่อมากที่สุดของ Safari 4 และผู้ใช้ใช้กันอย่างแพร่หลายในการข้ามไปยังเว็บไซต์ที่ใช้บ่อยซึ่งอาจรวมถึงธนาคาร, บัญชีอีเมล, เว็บไซต์ช็อปปิ้งและอื่น ๆ.

รายละเอียด

เป็นไปได้สำหรับเว็บไซต์ที่เป็นอันตรายในการวางเว็บไซต์เองลงในมุมมองไซต์ยอดนิยมของคุณผ่านการดำเนินการอัตโนมัติ เทคนิคการจู่โจมใช้ประโยชน์จากหน้าต่างจาวาสคริปต์ซึ่งในหน้าต่างเล็ก ๆ จะถูกใช้เพื่อเรียกดูไซต์ต่าง ๆ ที่ผู้โจมตีต้องการเพิ่มในรายการไซต์ยอดนิยมของคุณซ้ำ ๆ หน้าต่างนี้ถูกซ่อนอย่างสมบูรณ์โดยใช้ฟังก์ชั่น window.blur และผู้ใช้ชนะ’ไม่รู้ว่ากำลังเกิดขึ้นในพื้นหลัง โปรดทราบว่าการโจมตีนี้ไม่สามารถทำได้โดยใช้ iframe ที่มองไม่เห็นเนื่องจาก Safari ไม่ได้ใช้ iframe url เพื่อตัดสินใจเนื้อหาของ Top Sites.

เมื่อการโจมตีเสร็จสิ้นการดำเนินการหน้าต่างขนาดเล็กจะถูกปิดและในครั้งต่อไปที่คุณใช้ Safari Top Sites จะมีผู้โจมตี’ไซต์ที่กำหนดไว้แทนที่เว็บไซต์ที่ถูกกฎหมายที่มีอยู่ ในการตัดสินใจว่าจะแทนที่ไซต์ใดผู้โจมตีสามารถใช้การแฮ็คประวัติ CSS ได้โดย Jeremiah Grossman [2] จากนั้นจึงตั้งค่าไซต์ปลอมที่สัมพันธ์กับผู้ใช้เหล่านั้น’เว็บไซต์ที่เข้าชม ดังนั้นสิ่งนี้สามารถอำนวยความสะดวกในการโจมตีฟิชชิ่งได้อย่างง่ายดาย สถานการณ์แย่ลงโดย Safari’การป้องกันที่ไม่เพียงพอต่อการโจมตี URL ที่ทำให้สับสนตามที่เน้นใน [3] ซึ่งทำให้แทบเป็นไปไม่ได้ที่ผู้ใช้ทั่วไปจะพบเว็บไซต์ปลอมและแยกความแตกต่างจากเว็บไซต์ที่ถูกกฎหมาย.

หลักฐานความคิด

https://securethoughts.com/b/q.htm
ปัจจุบัน PoC ทำงานในไม่กี่นาทีซึ่งขึ้นอยู่กับค่าพารามิเตอร์อินพุตส่วนใหญ่.

พารามิเตอร์การป้อนข้อมูลสองรายการในการโจมตีครั้งนี้คือจำนวนครั้งที่เว็บไซต์ปลอมควรเข้าชม (n) (ค่าเริ่มต้น = 28) และหมดเวลา (t) (ค่าเริ่มต้น = 2 วินาที) ที่เรียกใช้การสลับระหว่างเว็บไซต์ปลอมสองแห่ง มันง่ายมากและเพิ่มสองเว็บไซต์ปลอมสำหรับ bankofamerica.com และ gmail.com ในเว็บไซต์ชั้นนำของคุณ (มันไม่ได้ตรวจสอบประวัติเบราว์เซอร์ของคุณ แต่ที่เหลือเป็นแบบฝึกหัดสำหรับผู้อ่าน :):) ) นอกจากนี้คุณอาจต้องเพิ่มค่าพารามิเตอร์ของ ‘n’ ถ้าคุณเยี่ยมชมเว็บไซต์ที่คุณชื่นชอบบ่อยมาก.

สถานการณ์แฮ็คในโลกแห่งความเป็นจริงจะมีลักษณะดังนี้:

1. Attacker ใช้งานจาวาสคริปต์ที่เป็นอันตราย
(a) เว็บไซต์ชั่วร้ายของเขาหรือเธอหรือ
(b) บนไซต์ที่ถูกต้องตามกฎหมายซึ่งอนุญาตให้ใช้จาวาสคริปต์ (เช่นกระดานข่าวแผงควบคุม ฯลฯ ).

2. ผู้ที่ตกเป็นเหยื่อเข้าชมเว็บไซต์ดังกล่าว.

3. จาวาสคริปต์ที่เป็นอันตรายและตรวจสอบประวัติเบราว์เซอร์เป็นครั้งแรก (โดยใช้ประวัติการแฮ็ค CSS [2]) จากรายการของ Alexa Top 500.

4. ผู้โจมตีแทนที่ผู้ใช้’ไซต์ที่เข้าชมด้วยไซต์ฟิชชิ่งปลอม (สร้างชื่อที่ถูกต้องตามกฎหมายพร้อมกับความสับสนของ URL).

5. ทุกครั้งที่ผู้ใช้เปิดเว็บไซต์ฟิชชิงและได้รับหน้าเข้าสู่ระบบผู้ใช้’ข้อมูลประจำตัวของถูกขโมย Attacker จะแสดงข้อความข้อผิดพลาดในการเข้าสู่ระบบโดยขอให้ผู้ใช้ลองอีกครั้งในภายหลัง ในเวลาเดียวกันผู้โจมตีจะรีเซ็ตไซต์ฟิชชิ่งนั้นกลับไปยังหน้าเว็บที่ถูกต้อง ด้วยวิธีนี้ผู้ใช้จะไม่เคยรู้ว่าเกิดอะไรขึ้น.

6. ในบันทึกอื่นผู้โจมตีสามารถเก็บเว็บไซต์ฟิชชิ่งอย่างน้อย 1 หรือ 2 เว็บไซต์ได้ตลอดเวลาในเว็บไซต์ยอดนิยม วิธีนี้จะช่วยผู้โจมตีในการรักษาการควบคุมผู้ใช้อย่างต่อเนื่อง’เซสชันและทุกครั้งที่ผู้ใช้เยี่ยมชมไซต์ใหม่ผู้โจมตีจะถูกตรวจพบและจะถูกแทนที่ด้วยไซต์ฟิชชิงในไซต์ยอดนิยม.

12__500x375_safaritopsitesspoof12__500x375_safaritopsitesspoof

คำอธิบายการแก้ไข

ปัญหานี้แก้ไขได้ด้วยการป้องกันการเข้าชมเว็บไซต์อัตโนมัติไม่ให้กระทบกับรายการ Top Sites เฉพาะเว็บไซต์ที่ป้อนด้วยตนเองในแถบที่อยู่ URL เท่านั้นที่จะถูกพิจารณาว่าอยู่ในมุมมอง Top Sites.

วิธีการแก้

อัปเกรดเป็น Safari 4.0.3.

มีการอัปเดตความปลอดภัยของ Apple ผ่านกลไกการอัปเดตซอฟต์แวร์:
http://support.apple.com/kb/HT1338

การอัปเดตความปลอดภัยของ Apple นั้นยังมีให้ดาวน์โหลดด้วยตนเองผ่านทาง:
http://www.apple.com/support/downloads/

ข้อมูลอ้างอิง

1. การปรับปรุงความปลอดภัยของ Apple
http://support.apple.com/kb/HT1222

2. ยิระมะยากรอสแมน’ประวัติการแฮ็ค CSS
http://jeremiahgrossman.blogspot.com/2006/08/i-know-where-youve-been.html

หน่วยกิต

ช่องโหว่นี้ถูกค้นพบโดย
Inferno (นรก {at} secure Thoughts {dot} com)

ระยะเวลาการเปิดเผยข้อมูล

21 พฤษภาคม 2009: ช่องโหว่ที่ค้นพบโดย Inferno.
21 พฤษภาคม 2009: Apple ติดต่อ.
21 พฤษภาคม 2009: การตอบสนองอัตโนมัติจาก Apple.
26 พฤษภาคม 2009: คำตอบแรกจากทีมรักษาความปลอดภัยของ Apple.
03 มิถุนายน 2009: การอัปเดตสถานะครั้งแรกโดย Apple.
27 มิถุนายน 2009: อัปเดตสถานะที่สองที่จัดทำโดย Apple.
24 ก.ค. 2552: การเปิดตัว Advisory กับ Apple.
11 สิงหาคม 2009: การอัปเดตซอฟต์แวร์และคำแนะนำสาธารณะที่ออกโดย Apple.

ฉันขอขอบคุณทีมรักษาความปลอดภัยของ Apple สำหรับการตอบสนองในเวลาที่เหมาะสมเข้าใจถึงความรุนแรงของปัญหานี้และปล่อยแพตช์ในช่วงเวลาที่เหมาะสม.

ทั้งเบราว์เซอร์ Chrome และ Opera มีคุณสมบัติที่คล้ายกัน แต่ไม่ได้รับผลกระทบจากช่องโหว่นี้ Chrome อนุญาตให้พิมพ์ URL ด้วยตนเองในแถบที่อยู่เท่านั้น “เข้าชมมากที่สุด” หน้าเริ่มต้นในขณะที่ Opera ต้องการให้ผู้ใช้เพิ่มหน้าเว็บโปรดของตนเป็นรายการโทรด่วนอย่างชัดเจน IE ไม่มีคุณสมบัตินี้ดังนั้นจึงไม่ได้รับผลกระทบจากสิ่งนี้.

ฉันได้พบกับคนที่น่าสนใจหลายคนที่ BlackHat และ Defcon ในปีนี้จาก Apple, Microsoft, WhiteHat, SecTheory, McAfee, Paypal และอื่น ๆ หนึ่งในผู้คนที่ฉันพบคือ Daniel Herrera จาก SecTheory เขาเล่าให้ฉันฟังถึงงานวิจัยที่เขาทำซึ่งหนึ่งในนั้นเป็นความผิดปกติที่คล้ายกันในเว็บไซต์ยอดนิยม เขาดีใจมากที่รู้ว่า Apple กำลังแก้ไขปัญหานี้ ในอนาคตอันใกล้เขาจะแบ่งปันความคิดดีๆกับเรา ซึ่งรวมถึงช่องโหว่บางอย่างที่เขาใช้งานกับ Opera

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me