Хакер #305. Многошаговые SQL-инъекции
На прошлой неделе сотрудник Google Project Zero Тевис Орманди (Tavis Ormandy) уже подверг жесткой критике защищенный браузер Chromodo, который компания Comodo поставляет вместе со своей антивирусной продукцией. Теперь пришла очередь браузера Avast SafeZone, также известного как Avastium.
Avastrum
Похоже, Орманди решил всерьез пройтись по безопасности браузеров. Как показывают результаты его изысканий: не зря. Собственный форк Chromium, созданный компанией Avast, оказался даже хуже, чем Chromodo, отключавший Same Origin Policy.
Avastium предлагается платным пользователям антивируса Avast Antivirus 2016, но он вряд ли может предложить им дополнительную защиту. Эксперт установил, что злоумышленник может успешно извлечь из браузера историю, пароли и прочую конфиденциальную информацию, которую хранит приложение.
Основная проблема заключается в том, что пользователю необязательно работать с браузером: атаку можно осуществить на компьютер, на котором Avastium попросту установлен. Дело в том, что злоумышленник может передать вредоносную команду RPC endpoint, которая оставлена в коде браузера открытой. Команда может являться частью вредоносного кода JavaScript, который может исполняться на машине жертвы локально. Это позволит добраться до открытой RPC endpoint, даже если сам Avastium не был запущен, а вредоносную ссылку открыли в другом приложении.
And yet another case of forking Chromium for "security" because of your virus expertise. Seriously, you're going to screw it up.
— Tavis Ormandy (@taviso) February 3, 2016
Оказывается, разработчики Avast серьезно покопались в коде Chromium. В частности, Chromium позволяет открывать через командную строку только WebSafe URL, то есть ссылки, начинающиеся с http, https, javascript и так далее. В Avastium этим почему-то решили поступиться, браузер допускает также открытие ссылок, начинающихся с «file://», а это огромная проблема.
Для продолжения атаки злоумышленнику даже не понадобится дополнительная малварь: браузер Avast хранит все данные в открытом виде, так что главное – знать, что у жертвы установлен Avastium.
«Хотя атака производится именно на Avastium, жертва не обязана его использовать, ни в момент атаки, ни в целом. Дело в том, что ваш профиль автоматически импортируется из Chrome, еще при установке Avastium», — пишет Орманди.
Исследователь добавляет, что SafeZone «заимствует» данные Chrome о закладках, настройках, куки и паролях автоматически, не уведомляя об этом пользователя.
Эксперт объясняет, что, фактически, злоумышленник способен получить доступ к файловой системе жертвы, если та просто кликнет по вредоносной ссылке. Не понадобится даже знать точное расположение конкретных файлов, потому как с помощью данной атаки можно также получить и перечень файлов каталога.
Плюс ко всему, злоумышленник может послать жертве произвольный авторизованный HTTP-запрос, что позволит ему добраться до куки жертвы, её почты, позволит взаимодействовать с онлайновым банкингом и так далее.
В качестве наглядного доказательства дырявости Avastium Орманди создал proof-of-concept страницу, где можно проверить браузер на уязвимость.
Специалисты Avast уже выпустили Avast 2016 build 2016.11.1.2253, исправляющий найденные экспертом проблемы.
Steam
Начинанием Орманди вдохновился другой исследователь, тоже решивший проверить безопасность браузеров. Он начал с браузера, встроенного в официальный клиент Steam. Это еще один форк Chromium, проблем у которого обнаружилось ничуть не меньше, чем у его «защищенных» коллег по рынку.
Пользователь GitHub под ником ekaris пишет, что в клиенте Steam используется устаревшая версия Chromium: тогда как новейший релиз — v50, Steam использует v47. Хотя можно заметить, что сообщение было опубликовано на странице «Steam Client for Linux», аналогичная проблема наблюдается у клиентов для Windows и Mac. Как не трудно догадаться, устаревшая версия означает незакрытые уязвимости.
Кроме того, ekaris обнаружил, что браузер Steam работает с отключенной песочницей. По умолчанию эта мера защиты пользователей в Chromium активирована, но разработчики Valve зачем-то ее отключили.
Хотя ekaris уже сообщил о проблемах Valve, патча пока нет, поэтому пользователям Steam рекомендуется использовать встроенный в клиент браузер с удвоенной осторожностью.
Фото: RenegadeAI