Alfonso Maruccia

Firefox e Opera vulnerabili agli URI malevoli

Un ricercatore di sicurezza aggiorna un vecchio attacco già noto e ne testa l'efficacia con i browser "alternativi" più avanzati. Il Panda Rosso e il navigatore norvegese falliscono la prova

Roma - Mozilla Firefox e Opera sono vulnerabili a un attacco piuttosto problematico, un tipo di phishing in cui un intero sito web fasullo (con tanto di script eseguibile) viene nascosto all'interno di un URI (Uniform Resource Identifier). L'attacco era già noto, ma la nuova versione prende di mira anche i browser "alternativi" a Internet Explorer.

Piuttosto che necessitare del setup di un server apposito con tanto di pagina web e codice malevolo con cui carpire i dati degli utenti, l'attacco richiede semplicemente di specificare un link: tutto quanto è necessario per spingere (surrettiziamente) l'utente a fornire informazioni sensibili è presente in quel link, esclusa ovviamente l'infrastruttura necessaria a raccogliere e gestire le suddette informazioni.

Il sistema, neanche a dirlo, faciliterebbe di molto l'opera dei cybercriminali, tanto più usando un servizio di compressione dei link come TinyURL e similari per nascondere l'enorme mole di caratteri e codice compresso da cui l'ipotetico URI malevolo sarebbe composto.
A riproporre un problema già noto da tempo è stato Henning Klevjer, studente dell'Università di Oslo, che ha creato un URI da ben 26 Kilobyte e ne ha testato il funzionamento con i browser più noti presenti sul mercato: l'attacco originale era indirizzato a Internet Explorer 6 e 7, quello rinnovato manda in crash il browser di Microsoft ma funziona correttamente su Firefox e Opera. Chrome invece blocca l'esecuzione dell'URI malevolo.

Alfonso Maruccia
9 Commenti alla Notizia Firefox e Opera vulnerabili agli URI malevoli
Ordina
  • The only thing I demand from you is to watch it and then you can include here your comment or vote., http://codeine-promethazine-syrup-s.doremiblog.com promethazine syrup street price, http://dosi-di-paracetamolo-in-grav.elkablog.com paracetamolo in english, http://ranitidine-and-domperidone-f.lo.gs domperidone for babies dosage, http://tretinoina-crema-para-molusc.doremiblog.com tretinoina crema molusco, http://duphaston-tablete-prospect.ek.la medicament duphaston prospect,
    non+autenticato
  • Visto che l'articolo non riporta il link al pdf (obbligando a passare da un blog inglese per arrivarci), lo riporto qui:
    http://klevjers.com/papers/phishing.pdf
    non+autenticato
  • Sarebbe il caso di blacklistare sta cazzo di kv.gif piuttosto che cancellare lo spam in ogni singolo articolo? Comincia a diventare abbastanza invadente.

    Almeno fino a quando i bot non emigreranno su altri lidi.

    Grazie per l'attenzione.
    non+autenticato
  • Vediamo di riassumere la questione.
    1) Esiste una specifica che ha come conseguenza la possibilita' di produrre un URI contenente del codice e mandarlo al browser.
    2) Questa specifica rientra negli standard.
    3) Tutti i browser tranne uno, interpretano correttamente l'URI e la eseguono
    4) IE crasha, come al solito.

    E fin qui nulla di nuovo.

    Il problema sorge nel momento in cui questa URI contiene del malware, e qui vediamo che mentre Chrome lo riconosce e lo blocca, Firefox e Opera non ancora.

    Lo scenario a cui assisteremo nei prossimi giorni sara' che Firefox e Opera inseriranno degli strumenti per poter riconoscere il malware e bloccarlo, mantenendo invece il corretto trattamento delle URI non maevole.

    IE invece crasha, come sempre.
  • When in doubt put out a BSODA bocca aperta
    non+autenticato
  • Malware? No non si parla di malware, le cose sono ancora più semplici.

    1) Esiste una specifica che ha come conseguenza la possibilità di specificare contenuti inline formattati in base64 da far mostare al browser.
    2) Questa specifica rientra negli standard, grazie al cielo ora è quasi pienamente supportata ed ha molti usi utili. Ad esempio, io la sto usando in un progetto per decriptare pdf al volo in javascript e visualizzarli, e già la uso per la stessa cosa con le immagini.
    3) Tutti i browser tranne uno, interpretano correttamente l'URI e la eseguono. Chrome non la esegue solamente se la URI è troppo lunga, non perché ci sia niente di strano.

    Non contiene nessun malware, solamente una pagina web, e non trovo niente di strano nel fatto che si possa chiedere al browser di mostrare una pagina web.
    Nell'articolo del The Register si ipotizza l'embedding nell'URI di applet java che sfruttino vulnerabilità di java, ma questo è tutto un altro paio di maniche e nel pdf originale non se ne parla neanche lontanamente.

    Ora, un veloce ripasso di cosa serve per un attacco phishing:
    - Una pagina web che imiti la pagina originale del sito per il quale ci si vuole spacciare.
    - Una pagina web (o semplicemente uno script, che deve però sempre avere un url) che raccolga i dati forniti.

    Questo URI sostituisce il primo elemento, ma non il secondo, come dice questo stesso articolo. In pratica, non c'è nessuna novità e non vedo come possa agevolare il lavoro dei phisher.

    Un tipo di vulnerabilità grave che favorisce attacchi di phishing è quello grazie al quale si riesce a far mostrare al browser un url diverso da quello che si sta effettivamente visitando, permettendo quindi di mandare il browser sulla pagina di phishing facendogli invece mostrare l'url del sito autentico.
    Se l'url mostrato è effettivamente quello del sito malevolo, il browser non ha questo tipo di vulnerabilità.
    Ovviamente, l'URI in questione viene mostrato palesemente nella sua vera natura (data:....) da tutti i browser, quindi in nessun modo può sembrare l'URL autentico.

    Tra l'altro, nella dimostrazione contenuta nel pdf viene mostrata la pagina di login di wikipedia, ma al momento del submit, essendo ovviamente una demo, viene visualizzato un alert javascript invece di fare un submit effettivo.
    Io ho fatto qualche prova con Firefox, senza perderci troppo tempo, e mi sembra che dalla pagina generata in quel modo non si riesca proprio a fare un submit verso un url... sarei curioso di sapere se questa cosa è stata effettivamente provata o se ci si è limitati (più o meno in buona fede) a quella demo...
    non+autenticato
  • Bravo, ottima spiegazione.
    non+autenticato
  • - Scritto da: Klut
    > Malware? No non si parla di malware, le cose sono
    > ancora più
    > semplici.
    beh il malware e' nel novero delle possibilita' .Non e' che data:text/html sia di per se malware. ovviamente.


    > Non contiene nessun malware, solamente una pagina
    > web, e non trovo niente di strano nel fatto che
    > si possa chiedere al browser di mostrare una
    > pagina
    > web.
    beh e' il COME che fa la differenza... uno non si aspetta che nell'URL ci sia contenuto "attivo" (javascript ecc) ..


    >
    > Questo URI sostituisce il primo elemento, ma non
    > il secondo, come dice questo stesso articolo. In
    > pratica, non c'è nessuna novità e non vedo come
    > possa agevolare il lavoro dei
    > phisher.
    il phisher e' agevolato quando viene innescato un comportamento inaspettato... mettere contenuti renderizzabili in un URL lo e', direi..

    >


    > Tra l'altro, nella dimostrazione contenuta nel
    > pdf viene mostrata la pagina di login di
    > wikipedia, ma al momento del submit, essendo
    > ovviamente una demo, viene visualizzato un alert
    > javascript invece di fare un submit
    > effettivo.
    > Io ho fatto qualche prova con Firefox, senza
    > perderci troppo tempo, e mi sembra che dalla
    > pagina generata in quel modo non si riesca
    > proprio a fare un submit verso un url... sarei
    > curioso di sapere se questa cosa è stata
    > effettivamente provata o se ci si è limitati (più
    > o meno in buona fede) a quella
    > demo...
    mah a giudicare da quel che ne pensa l'ISC (l'internet storm center del SANS), la cosa funziona.
    Magari ,se togli NoScript dal browser, ci puoi riuscire anche tuSorride
    Vedansi https://isc.sans.edu/diary/+Data+URLs+used+for+in-...
    non+autenticato
  • - Scritto da: bubba
    > > Non contiene nessun malware, solamente una pagina
    > > web, e non trovo niente di strano nel fatto che
    > > si possa chiedere al browser di mostrare una
    > > pagina web.
    > beh e' il COME che fa la differenza... uno non si
    > aspetta che nell'URL ci sia contenuto "attivo"
    > (javascript ecc)..

    E perché no? con i data URI si può rappresentare qualsiasi cosa per definizione, chi è che decide cosa si deve poter rappresentare e cosa no?
    Perché non si dovrebbe poter rappresentare javascript? E allora neanche PDF visto che Adobe Reader è pieno di vulnerabilità? E neanche immagini visto che ci sono state vulnerabilità sulle immagini?
    Eppure i data URI sono comunemente usati per rappresentare javascript, pdf e immagini per mille scopi normalissimi, e non è certo un problema: se c'è una vulnerabilità nell'interpretare o eseguire un certo tipo di contenuto, il problema è la vulnerabilità, non certo il mezzo con il quale viene trasmesso questo contenuto.

    Detto questo, nel contesto di questo articolo non c'entrano niente javascript e contenuti attivi.
    Si parla di visualizzare una pagina web tramite un link, senza bisogno di un server web, da utilizzare attacchi di phishing. Per un phishing non c'è bisogno di javascript e di nessuna vulnerabilità, basta mostrare una form.

    > il phisher e' agevolato quando viene innescato un
    > comportamento inaspettato... mettere contenuti
    > renderizzabili in un URL lo e', direi..

    No, non è affatto un comportamento inaspettato. È previsto dal 1998 (RFC 2397), è documentato da Mozilla e da Opera in quanto è esattamente quello che deve succedere: https://developer.mozilla.org/en-US/docs/data_URIs
    Semmai, ci si è accorti in passato su entrambi i browser di un problema di possibili attacchi XSS, ed è stato risolto su entrambi allo stesso modo (vedi la sezione Security di quella pagina di Mozilla e http://www.opera.com/support/kb/view/995/)

    Quindi, non c'è niente di malevolo o di imprevisto da nessuna parte.
    Nessuno ha scoperto niente, un tool per creare pagine di questo tipo (linkato nelle risorse degli articoli di Mozilla e di ISC) è disponibile a chiunque da almeno 10 anni (secondo archive.org) ed è di facilissimo utilizzo.
    Lo "studente dell'università di Oslo" esprime la sua preoccupazione che i data URI possano agevolare attacchi di phishing, la stessa cosa è semplicemente riportata da ISC senza nessun allarme, ma la preoccupazione è abbastanza infondata.
    Non agevola granché gli attacchi (il server web che riceva il submit rimane comunque indispensabile), anzi semmai ha l'unica conseguenza di rendere meno plausibile l'url fasullo che si invita a visitare, e che viene visualizzato nella address bar.
    È semplicemente un veicolo di trasmissione di dati forse poco noto, ma non molto diverso dagli altri.

    Quindi, il titolo di questo articolo è completamente sbagliato, in quanto non c'è nessuna "vulnerabilità" a nessun "URI malevolo". Non c'è nessun "vecchio attacco aggiornato", e i browser non "falliscono" alcuna "prova".
    non+autenticato