Ошибка Chrome позволяет злоумышленникам красть веб-секреты с помощью аудио или видео HTML-тегов

1. Атака использует HTML и аудио теги видео
2. Атака может получить конфиденциальные / защищенные данные с других сайтов.
3. API тоже в опасности
4. Атака похожа на Wavethrough, но отличается

Google исправил уязвимость в браузере Chrome, которая позволяет злоумышленнику получать конфиденциальную информацию с других сайтов с помощью тегов HTML аудио или видео.

Рон Масас, исследователь безопасности из Imperva, обнаружил и сообщил об этой проблеме - CVE-2018-6177 - загуглить. Производитель браузеров исправил дыру в безопасности в конце июля, выпустив Chrome v68.0.3440.75 ,

Уязвимость может быть использована в более старых версиях Chrome в ситуациях, когда злоумышленник может заманить жертву на вредоносный сайт, с помощью вредоносной рекламы (вредоносный код в рекламе, встроенной на законных сайтах) или с помощью уязвимостей на законных сайтах, где злоумышленник может внедрить и выполнить код - например, с помощью хранимых недостатков межсайтового скриптинга (XSS).

Атака использует HTML и аудио теги видео

В записать Масас пояснил, что опубликованный ранее сегодня и предоставленный Bleeping Computer , сценарий атаки требует вредоносного кода, который загружает контент с законных сайтов в теги HTML аудио и видео.

Масас говорит, что, используя события «прогресса», он может определить размер ответов, полученных на внешних сайтах, и угадать различные типы информации.

При нормальных обстоятельствах это было бы невозможно из-за CORS - общего доступа к ресурсам - функции безопасности браузера, которая не позволяет сайтам загружать ресурсы с других сайтов, но эта атака обходит CORS.

«По сути, эта ошибка позволяет злоумышленникам оценивать размер ресурсов из разных источников, используя видео или аудио теги», - сказал Масас в интервью Bleeping Computer по электронной почте.

Атака может получить конфиденциальные / защищенные данные с других сайтов.

В своих тестах он смог определить возможную возрастную группу и пол пользователя, добавив параметр «Ограничение аудитории» в общедоступных постах Facebook.

«Путем манипулирования такими сайтами, как Facebook, для отображения пользовательских данных в форме больших или маленьких ответов, становится возможным последовательно извлекать ценные данные», - сказал нам Масас.

Но Майк Gualtieri Исследователь безопасности, специализирующийся на проблемах веб-безопасности, говорит, что эту атаку можно использовать более креативно, чем сбор данных от пользователей Facebook. Например, путем нацеливания на корпоративные бэкэнды, интрасети и другие корпоративные приложения.

«Готовые системы, настраиваемые корпоративными ИТ-подразделениями, могут быть лучшими целями для атак такого типа, так как злоумышленник может изучить внутренние системы системы и потенциально повлиять на всех пользователей системы», - сказал Гуалтьери сегодня в беседе с Bleeping Computer. ,

«Очень часто случается, что эти системы более однородны в зависимости от вошедшего в систему пользователя», - сказал он, добавив, что злоумышленники могут готовить атаки, направленные на фильтрацию конфиденциальных данных, хранящихся в определенных областях корпоративных веб-приложений.

API тоже в опасности

Кроме того, Гуалтьери считает, что атака также может быть успешной в отношении API, к которым злоумышленники обычно не имеют доступа, но к которым ошибка позволяет им передавать запросы.

«В этот день очень выполнимо найти слабо защищенные данные обмена Web-API», - сказал нам Гуалтьери. «Злоумышленник с достаточным усердием может обработать группу ожидаемых запросов от зарегистрированных пользователей и нацелить эти ответы API».

«Например, предположим, что у гипотетической фирмы по торговле акциями есть открытая конечная точка API, которая возвращает что-то вроде:

Запрос: http [:] // жертва / jsonapi / lasttrade / GOOG Ответ: {"stock": "GOOG", "lasttrade": 0, "ошибка": "не авторизован"}

«Если пользователь вошел в систему, запрос может быть:

{"stock": "GOOG", "lasttrade": 100, "error": false} или, {"stock": "GOOG", "lasttrade": 1000, "error": false}

«Таким образом, возможно, вы могли бы вывести на основании этого диапазон купленных акций», - говорит Гуалтьери.

«Этот пример может показаться нереальным для многих, но я видел слишком много плохо спроектированных / разоблаченных веб-API, чтобы знать, что есть случаи, подобные этому гипотетическому примеру, лежащему в сети», - добавляет он.

Атака похожа на Wavethrough, но отличается

Если атака Масаса звучит знакомо, это потому, что она очень похожа на уязвимость, раскрытую в марте, известную как Wavethrough (CVE-2018-8235), недостаток, затрагивающий Edge и Firefox.

Как и ошибка Masas Chrome, Wavethrough использовал аудио и видео теги, чтобы обойти защиту CORS, загрузить данные с других сайтов и определить их содержимое.

Но на этом сходство заканчивается.

«Уязвимость Wavethrough использовала сервисного работника и запрос« диапазона »для извлечения необработанных данных», - сказал Масас Bleeping Computer . «С другой стороны, мы наблюдаем за событиями« прогресс », сгенерированными нашим элементом, чтобы оценить размер ресурса из разных источников, а затем используем эту информацию для получения дополнительной информации о пользователях, используя фильтры ограничения на сайтах, таких как Facebook».

Джейк Арчибальд Инженер Google, обнаруживший Wavethrough, также говорит, что две атаки совершенно разные, даже если они осуществляются с помощью тегов HTML аудио и видео.

«Это очень немного похоже, но это скорее атака по времени, тогда как Wavethrough не был», - сказал Арчибальд Bleeping Computer в частной беседе сегодня. «Wavethrough был нарушением модели происхождения».

Разница заключается в том, что Wavethrough извлекает любые данные, которые он находит после взлома CORS, в то время как недостаток Масаса постоянно подталкивает другие сайты к потоку запросов, пытающихся угадать, что это за данные.

Но в то время как ошибка Chrome звучит сложнее в использовании, это не так.

«Атака не сложна и требует некоторой подготовки», - сказал нам Гуалтьери, добавив, что эта игра с постоянными угадываниями не означает, что ошибка Chrome ограничена только одним пользователем.

«Игра в угадайку может использоваться для одновременной работы с несколькими пользователями в зависимости от целевого сайта», - сказал Гуалтьери.

Поэтому, если пользователи не хотят, чтобы их веб-секреты были разглашены в Интернете, рекомендуется обновить Chrome до версии v68.0.3440.75 или новее.

Похожие

Комментарии