WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Firefox tồn tại điểm yếu 17 tuổi: Cho phép file HTML đánh cắp tệp tin từ thiết bị
Nhà nghiên cứu an ninh mạng, Barak Tawily, vừa chia sẻ việc phát triển thành công một cuộc tấn công PoC mới vào Firefox phiên bản mới nhất bằng cách tận dụng một điểm yếu tồn tại đã 17 năm trên trình duyệt.
Cuộc tấn công lợi dụng cách Firefox triển khai Chính sách an ninh SOP (nguồn gốc tương tự) đối với sơ đồ URI "tệp://" (Định danh tài nguyên thống nhất), cho phép mọi file trong thư mục trên hệ thống có quyền truy cập vào các tệp trong cùng thư mục và các thư mục con.
Do Chính sách SOP cho sơ đồ tệp chưa được xác định rõ ràng trong RFC bởi IETF, mỗi trình duyệt và phần mềm lại triển khai nó theo cách khác nhau. Một số coi tất cả các tệp trong một thư mục là cùng nguồn gốc, trong khi một số khác coi mỗi tệp có một nguồn gốc khác nhau.
Tawily cho hay Firefox là trình duyệt duy nhất không điều chỉnh việc triển khai không an toàn Chính sách SOP đối với Sơ đồ URI tệp theo thời gian và vẫn hỗ trợ Fetch API qua giao thức tệp.
Mặc dù điểm yếu đã được đưa ra thảo luận nhiều lần trên Internet trong những năm trước, nhưng đây là lần đầu tiên có người triển khai một cuộc tấn công PoC hoàn chỉnh, chỉ ra nguy cơ về an ninh và quyền riêng tư đối với hàng triệu người dùng Firefox.
Như được trình bày trong video demo, Tawily đã khai thác một vấn đề cũ đã được biết đến kết hợp với một cuộc tấn công clickjacking (nhấp chuột) và một lỗi "chuyển đổi ngữ cảnh" cho phép mã khai thác tự động:
• lấy danh sách tất cả các tệp nằm trong cùng một thư mục và các thư mục con nơi HTML độc hại được trình duyệt tải xuống hoặc được lưu bởi nạn nhân theo cách thủ công,
• đọc nội dung của bất kỳ hoặc tất cả tệp tin bằng Fetch API, sau đó
• gửi dữ liệu được thu thập đến một máy chủ từ xa thông qua các truy vấn HTTP.
Để tấn công thành công, hacker buộc phải lừa nạn nhân tải xuống và mở tệp HTML độc hại trên trình duyệt Firefox và nhấp vào một nút bấm giả để kích hoạt khai thác.
Tawily chia sẻ tất cả các hành động trên có thể diễn ra âm thầm trong vài giây mà nạn nhân hay biết, ngay khi họ nhấp vào nút bấm giả được đặt cẩn thận trên trang HTML độc hại.
Cần lưu ý rằng kỹ thuật này chỉ cho phép tệp HTML độc hại truy cập các tệp khác trong cùng thư mục và các thư mục con của nó.
Trong kịch bản tấn công PoC của mình, Tawily chỉ ra cách kẻ tấn công có thể dễ dàng đánh cắp các khóa SSH bí mật của nạn nhân Linux nếu người dùng lưu các tệp đã tải xuống trong thư mục người dùng, cả các khóa SSH trong thư mục con.
Firefox không có ý định vá lỗ hổng sớm
Nhà nghiên cứu đã báo cáo những phát hiện mới của mình cho Mozilla và nhận được phản hồi: "Việc triển khai Chính sách SOP cho phép mọi tệp:// URL có quyền truy cập vào các tệp trong cùng thư mục và thư mục con".
Điều này cho thấy Mozilla dường như không có kế hoạch khắc phục vấn đề này trong một sớm một chiều.
Twaily cho hay: "Tôi nghĩ rằng vấn đề này cần được giải quyết trong RFC, điều đó sẽ buộc các tác nhân người dùng (trình duyệt) thực hiện phương pháp an toàn nhất và không cho phép các nhà phát triển phạm sai lầm như vậy khiến khách hàng phải đối mặt với các cuộc tấn công kiểu này".
Cuộc tấn công lợi dụng cách Firefox triển khai Chính sách an ninh SOP (nguồn gốc tương tự) đối với sơ đồ URI "tệp://" (Định danh tài nguyên thống nhất), cho phép mọi file trong thư mục trên hệ thống có quyền truy cập vào các tệp trong cùng thư mục và các thư mục con.
Do Chính sách SOP cho sơ đồ tệp chưa được xác định rõ ràng trong RFC bởi IETF, mỗi trình duyệt và phần mềm lại triển khai nó theo cách khác nhau. Một số coi tất cả các tệp trong một thư mục là cùng nguồn gốc, trong khi một số khác coi mỗi tệp có một nguồn gốc khác nhau.
Tawily cho hay Firefox là trình duyệt duy nhất không điều chỉnh việc triển khai không an toàn Chính sách SOP đối với Sơ đồ URI tệp theo thời gian và vẫn hỗ trợ Fetch API qua giao thức tệp.
Demo: Đánh cắp tệp tin nội bộ Firefox (Chưa được vá)
Mặc dù điểm yếu đã được đưa ra thảo luận nhiều lần trên Internet trong những năm trước, nhưng đây là lần đầu tiên có người triển khai một cuộc tấn công PoC hoàn chỉnh, chỉ ra nguy cơ về an ninh và quyền riêng tư đối với hàng triệu người dùng Firefox.
Như được trình bày trong video demo, Tawily đã khai thác một vấn đề cũ đã được biết đến kết hợp với một cuộc tấn công clickjacking (nhấp chuột) và một lỗi "chuyển đổi ngữ cảnh" cho phép mã khai thác tự động:
• lấy danh sách tất cả các tệp nằm trong cùng một thư mục và các thư mục con nơi HTML độc hại được trình duyệt tải xuống hoặc được lưu bởi nạn nhân theo cách thủ công,
• đọc nội dung của bất kỳ hoặc tất cả tệp tin bằng Fetch API, sau đó
• gửi dữ liệu được thu thập đến một máy chủ từ xa thông qua các truy vấn HTTP.
Để tấn công thành công, hacker buộc phải lừa nạn nhân tải xuống và mở tệp HTML độc hại trên trình duyệt Firefox và nhấp vào một nút bấm giả để kích hoạt khai thác.
Tawily chia sẻ tất cả các hành động trên có thể diễn ra âm thầm trong vài giây mà nạn nhân hay biết, ngay khi họ nhấp vào nút bấm giả được đặt cẩn thận trên trang HTML độc hại.
Cần lưu ý rằng kỹ thuật này chỉ cho phép tệp HTML độc hại truy cập các tệp khác trong cùng thư mục và các thư mục con của nó.
Trong kịch bản tấn công PoC của mình, Tawily chỉ ra cách kẻ tấn công có thể dễ dàng đánh cắp các khóa SSH bí mật của nạn nhân Linux nếu người dùng lưu các tệp đã tải xuống trong thư mục người dùng, cả các khóa SSH trong thư mục con.
Firefox không có ý định vá lỗ hổng sớm
Nhà nghiên cứu đã báo cáo những phát hiện mới của mình cho Mozilla và nhận được phản hồi: "Việc triển khai Chính sách SOP cho phép mọi tệp:// URL có quyền truy cập vào các tệp trong cùng thư mục và thư mục con".
Điều này cho thấy Mozilla dường như không có kế hoạch khắc phục vấn đề này trong một sớm một chiều.
Twaily cho hay: "Tôi nghĩ rằng vấn đề này cần được giải quyết trong RFC, điều đó sẽ buộc các tác nhân người dùng (trình duyệt) thực hiện phương pháp an toàn nhất và không cho phép các nhà phát triển phạm sai lầm như vậy khiến khách hàng phải đối mặt với các cuộc tấn công kiểu này".
Nguồn: The Hacker News