Una vulnerabilità zero-day che interessa tutte le versioni di Internet Explorer consente agli aggressori di eseguire un attacco di tipo clickjacking, al fine di rubare i cookie di sessione. L'attacco, soprannominato cookiejacking, è stato comunicato la scorsa settimana dal ricercatore di sicurezza indipendente italiano Rosario Valotta alla conferenza Hack in the Box 2011 ad Amsterdam e ulteriori informazioni sono state pubblicate sul suo blog Lunedi.
Per la dimostrazione, Valotta ha sottratto le credenziali di accesso a Facebook, Gmail e Twitter. Gli hacker possono sfruttare la falla per accedere a un file di dati memorizzati all'interno del browser conosciuto come "cookie", che contiene il nome utente e la password di un account web, Valotta ha detto via e-mail a Reuters. "Qualsiasi sito web. Qualsiasi cookie. Il limite è solo la vostra immaginazione", scrive sul blog.
Non è semplice tirare fuori l'attacco e combina diverse tecniche tra cui social engineering, però, se fatto correttamente può risultare molto efficace. La tecnica, chiamata "cookiejacking", sfrutta un bug nella gestione dei cookie da parte del browser Microsoft. La vulnerabilità interessa tutte le versioni di IE, tra cui Internet Explorer 9, su ogni versione del sistema operativo Windows.
Per sfruttare la falla, l'hacker deve convincere la vittima a trascinare un oggetto attraverso lo schermo del PC prima che il cookie possa essere dirottato. Ciò appare come un compito difficile, ma Valotta ha detto che è in grado di farlo abbastanza facilmente. Ha costruito un puzzle che ha messo su Facebook in cui viene chiesto agli utenti di "spogliare" la foto di una donna attraente.
Pur trattandosi di un mero esperimento, Valotta ha rivelato che "in meno di tre giorni, i suoi server hanno ricevuto il contenuto di ben 80 cookie su un totale complessivo di 150 amici raccolti sul social network". Il bug del browser IE consiste nel caricamento di un cookie, se il file corrispondente viene servito come src di un iframe.
Poiché il percorso del cookie dipende dal nome dell'utente di Windows, l'utente malintenzionato deve determinare questo valore. Valotta descrive un metodo basato sul Web che inganna il browser a rivelare il nome della vittima. La versione del sistema operativo deve essere anche determinata, perché i cookie vengono memorizzati in posizioni diverse sui diversi sistemi Windows.
Questo può essere fatto analizzando l'oggetto navigator.userAgent. Tuttavia, il caricamento di un cookie, che è sostanzialmente un file di testo, all'interno di un iframe non consente al malintenzionato di leggerlo in realtà, a causa delle restrizioni costruite nel browser. Per bypassare questo, l'attaccante ha la necessità di ingannare la vittima per farsi consegnare il contenuto dei cookie.
Ciò implica la selezione del testo e incollarlo all'interno di un contenitore attaccante controllato (drag & drop). Ovviamente questo sarebbe molto sospetto, e gli attaccanti hanno bisogno di utilizzare tecniche di clickjacking per nascondere ciò che sta accadendo. In un altro esempio Valotta, ha nascosto le azioni furtive con un semplice gioco in cui l'utente deve trascinare una palla attraverso un cerchio di basket.
Poiché tutte le versioni di Internet Explorer su tutte le versioni di Windows sono colpite, Valotta avverte che il pool di potenziali vittime è enorme. Inoltre, non ci sono molte difese contro le tecniche di clickjacking in IE. Microsoft ha risposto dicendo che, a causa del livello di interazione, non si tratta di un problema ad alto rischio.
"Dato il livello di intervento da parte dell'utente, questo problema non è quello che consideriamo ad alto rischio nel modo in cui il codice remoto potrebbe essere eventualmente eseguito dagli utenti," ha detto Jerry Bryant, manager del gruppo Microsoft Security Response Center (MSRC).
"Al fine di essere eventualmente colpito, un utente deve visitare un sito Web dannoso ed essere convinto a fare clic e trascinare gli elementi all'interno della pagina in modo che l'attaccante possa indirizzare un cookie specifico da un sito Web in cui l'utente ha effettuato precedentemente l'accesso". Nonostante queste parole rassicuranti, è sempre meglio evitare di accettare richieste inviate dagli amici relative a giochi o applicazioni sospette e non usare Internet Explorer. L'azienda conta di risolvere il problema tra giugno e agosto.
Nessun commento:
Posta un commento