C'è una vulnerabilità senza patch in Internet Explorer 8 che consente il furto di dati attraverso semplici attacchi Web-based da parte di pirati che potrebbero portare a un utente malintenzionato il dirottamento delle sessioni autenticata di un utente su un sito di terze parti. La falla sarebbe stata riconosciuta da un ricercatore sin dal 2008 e risiede nel modo in cui IE 8 gestisce i fogli di stile CSS, efficace anche con Javascript disabilitato.
La vulnerabilità può essere sfruttata attraverso uno scenario di attacco noto come cross-domain, ed è stato originariamente portato alla luce il problema, dal ricercatore Chris Evans, in un post del blog nel mese di dicembre. Al momento, tutti i principali browser erano vulnerabili all'attacco, ma da allora, Firefox, Chrome, Safari e Opera hanno tutti attuato un meccanismo di difesa semplice. Mozilla è stato l'ultimo a risolvere il problema, nel mese di luglio. Tre ricercatori della Carnegie Mellon University hanno pubblicato un documento su questo attacco - a cui hanno contribuito Evans - e il layout di un client-side di difesa contro di esso.
Il problema sarebbe noto dal 2008 e consiste, a quanto si apprende, nel rischio di subire un possibile attacco Web-based di tipo cross-domain, ovvero in grado di dirottare una sessione di navigazione verso un dominio diverso da quello legittimo su cui l’utente crede di navigare. In altre parole, un utente regolarmente autenticato ad un sito può vedere le sue credenziali e altri dati riservati dirottati, e quindi rubati, su un sito Web sconosciuto e appositamente creato da qualche pirata. A questa vulnerabilità, che sfrutta la gestione dei fogli di stile CSS di Internet Explorer, erano esposti un po’ tutti i principali browser sul mercato ai tempi della sua scoperta.
Esempio: Yahoo! Mail oggetto cross-domain furto
Fase 1: E-mail indirizzata alle vostre victim@yahoo.com con l'oggetto
Fase 2: Aspettate un po '(si presuppone che altre e-mail vengono consegnati alle vittime in questo momento)
Fase 3: E-mail ai vostri victim@yahoo.com con oggetto () body (background-image: url ('http://google.com/ e includere nel corpo: CLICCA http://cevans-app.appspot.com/static/yahoocss.html
Fase 4: Ci sarà il 'profitto' se la vittima fa clic sul collegamento.
Se si imposta lo scenario sopra come un test, si potrebbe vedere qualcosa di simile in una finestra di avviso al momento cliccando sul link:
url(http://google.com/%3C/a%3E%3Cbr/%3E%3Cspan%20class=%22j%22%3EChris%20Evans%3C/span%3E%3C/span%3E%3C/div%3E%3C/div%3E%3Cdiv%20class=%22h%22%3E%3Cdiv%20class=%22i%22%3E%3Cspan%3E%3Ca%20href=%22/p/mail/messageDetail?fid=Inbox&mid=1_3493_AGvHtEQAAWFgSgIzgAlWYQXHqDY&3=q%22%3ESuper%20sensitive%20subject%3C/a%3E%3Cbr/%3E%3Cspan%20class=%22j%22%3EChris%20Evans%3C/span%3E%3C/span%3E%3C/div%3E%3C/div%3E%3Cdiv%20class=%22h%22%3E%3Cdiv%20class=%22i%22%3E%3Cspan%3E%3Ca%20href=%22/p/mail/messageDetail?fid=Inbox&mid=1_3933_AGTHtEQAAM%2FHSgIzawpE8Fwm1%2FI&5=x%22%3E)
Nel frattempo, però, Chrome, Safari e Opera hanno ricevuto gli opportuni aggiornamenti per mettere al riparo l’utenza, compreso Firefox, ma non Internet Explorer. In questo contesto stupisce l’immobilismo di Microsoft, che sembra non trovare alcuna giustificazione apparente vista la potenziale pericolosità della falla. Dall’azienda di Redmond arriva per adesso solamente la conferma che il team del Microsoft Security Response Center è informato della vulnerabilità e sta studiando la situazione. Si attende quindi l’arrivo di una patch anche per Internet Explorer, seppur tra pochi giorni sarà per essere rilasciata la prima versione stabile ed ufficiale di Internet Explorer 9. Via: One It Security
Nessun commento:
Posta un commento