Каждый безопасник должен держать руку на пульсе и быть в курсе значимых публикаций и презентаций по нашему с тобой профилю. Не всем удается постоянно путешествовать по миру и посещать хакерские конференции (завидуем белой завистью Денису Макрушину), но с некоторых пор для наших подписчиков это перестало быть проблемой. Первую часть статьи, посвященную актуальным ИБ-докладам, которые стоит увидеть, мы опубликовали в начале февраля этого года. Судя по комментам, читателям это понравилось, поэтому мы продолжаем. 🙂 В этом выпуске — самые интересные публикации, посвященные безопасности WebApp.
 

Зомби-расширения Chrome захватывают интернет

Tomer Cohen. Game of Chromes: Owning the Web with Zombie Chrome Extensions // DEF CON. 2017

16 апреля 2016 года армия ботов штурмовала серверы Wix, создавая новые аккаунты и публикуя в массовом порядке теневые веб-сайты. Атака велась вредоносным расширением браузера Chrome, которое в результате самораспространения было установлено на десятках тысяч девайсов. Этот базирующийся на расширениях бот использовал Wix’овую платформу веб-сайтов и Facebook’овский мессенджер — для самораспространения среди пользователей этих интернет-сервисов. Два месяца спустя та же самая атака повторилась. На этот раз злоумышленники инфицировали всплывающие уведомления Facebook’а — так, чтобы при клике по этому уведомлению управление передавалось на вредоносный JSE-файл, который устанавливал контрабандное расширение в Chrome-браузере жертвы. Затем это контрабандное расширение эксплуатировало Facebook’овский мессенджер еще раз — теперь уже чтобы распространить себя еще большему числу жертв.

Анализируя эти две бот-атаки, поражаешься их неуловимости, а особенно тому, как они обходят веб-ориентированные системы обнаружения ботов. Однако это не должно удивлять, поскольку легальным расширениям браузера позволено многое: отправлять сообщения в Facebook, создавать веб-сайты в Wix, да и вообще выполнять любое действие от имени пользователя. С другой стороны, контрабандные вредоносные расширения в Google Web Store и их эффективное распространение среди большого количества жертв, подобно двум описанным выше атакам, превращают Google Web Store в зону боевых действий.

Кроме того, совсем недавно было обнаружено, что несколько популярных расширений Chrome уязвимы для XSS. Тому самому XSS, которому подвержено большинство веб-приложений. Причем в случае с браузерными расширениями последствия от XSS могут быть куда более разрушительными, чем в случае с традиционным злоупотреблением XSS на веб-сайтах. Яркий тому пример — расширение Adobe Acrobat для Chrome, которое 10 января 2016 года было по-тихому установлено компанией Adobe на 30 миллионов компьютеров. DOM’овская XSS-уязвимость, найденная в этом расширении, позволяла злоумышленнику создавать контент, запускающий JavaScript-код от имени этого Adobe’овского расширения.

В докладе рассказывается, как подобные изъяны приводят к полному и постоянному контролю над браузером жертвы, превращая легальное расширение в зомби. Кроме того, докладчик проливает новый свет на две атаки, упомянутые в начале описания доклада. Демонстрирует, как злоумышленник может использовать аналогичные техники для эффективной доставки вредоносной полезной нагрузки к новым жертвам, через популярные социальные платформы и таким образом создавать в интернете мощнейшие бот-сети.


 

Атака на браузерные расширения по обходным каналам

Iskander Sanchez-Rola, Igor Santos, Davide Balzarotti. Extension Breakdown: Security Analysis of Browsers Extension Resources Control Policies // Proceedings of the 26th USENIX Security Symposium. 2017. P. 679–694

Все наиболее востребованные браузеры поддерживают механизм расширений. Поскольку браузерные расширения тесно связаны с браузерным окружением, они в последнее время стали привлекательным для злоумышленников объектом. С помощью механизма расширений злоумышленники уже давно собирают конфиденциальную информацию, просматривают историю поиска, воруют пароли. Все эти свои находки злоумышленники затем используют для очень серьезных целенаправленных атак.

В современных браузерах теоретически есть контрмеры, которые защищают расширения и их ресурсы от доступа к ним со стороны третьих лиц. Однако все эти контрмеры грешат одним из двух изъянов: либо их недостаточно, либо они реализованы некорректно.

В этом докладе представлена атака на браузерные расширения по обходным каналам, как раз направленная против настроек контроля доступа. Данная атака обходит даже самые современные защитные механизмы, во всех популярных браузерах, в том числе Chromium, Firefox, Microsoft Edge, Safari.

Также в докладе демонстрируются разрушительные последствия от применения плохой практики программирования, из-за которой большинство ныне существующих браузерных расширений очень уязвимы.

Как оценить уровень докладов на хакерских конференциях?

Загрузка ... Загрузка ...
 

Эксплуатация одной и той же SQLite-уязвимости на разном софте

Siji Feng, Zhi Zhou, Kun Yang. Many Birds One Stone: Exploiting a Single Sqlite Vulnerability Across Multiple Software // Black Hat. 2017

SQLite широко используется в качестве встроенной БД для локального/клиентского хранилища в прикладном софте, таком как веб-браузеры и мобильный софт. Как реляционная БД, SQLite уязвима для SQL-инъекций. Эксплоитами SQL-инъекций сегодня уже мало кого удивишь. Поэтому в докладе сделан акцент на ошибки повреждения памяти в SQLite. Обычно эти ошибки не считаются серьезными проблемами кибербезопасности, и предполагается, что они вряд ли будут эксплуатироваться. Однако в этом докладе описаны несколько вариантов повреждения памяти через удаленный доступ, чтобы показать, что такой тип атак представляет для SQLite серьезную опасность.

Экскурс в SQLite-эксплоиты начинается с WebSQL. БД WebSQL — это веб-интерфейс для хранения данных, доступ к которым может быть получен посредством SQL-запросов. Хотя рабочая группа W3C прекратила развивать эту спецификацию в 2010 году, многие современные браузеры (в том числе Google Chrome, Apple Safari и Opera) все еще имеют в своей реализации обширную функциональность на основе SQLite.

В докладе рассмотрено несколько последних этапов в эволюции SQLite, рассказано, какое влияние эти этапы оказали на браузеры и каким исправлениям SQLite подвергалась на протяжении своей эволюции. Кроме того, в докладе представлены новейшие SQLite-уязвимости, которые докладчик использовал для компрометации Apple Safari. Этим новейшим уязвимостям подвержены абсолютно все браузеры, которые поддерживают БД WebSQL, в том числе браузерные компоненты WebView (Android) и UIWebView (iOS), которые широко используются в мобильном софте.

Чтобы показать, какими серьезными неприятностями может обернуться даже одна-единственная SQLite-уязвимость, в докладе приведено несколько примеров применения описываемого эксплоита против разных браузеров и платформ.

У многих языков программирования, в том числе PHP, Lua и Java, есть API для привязки к SQLite. Поэтому ошибки повреждения памяти в SQLite, помимо всего прочего, оказывают разрушительное влияние на функции безопасности этих языков программирования. В качестве примера в докладе продемонстрировано, как скомпрометировать PHP-движок через его SQLite-расширение, чтобы обойти ограничения безопасности, предусмотренные в PHP.


 

Новейшие примитивы и стратегии для проведения CSRF-атак

Joe Rozner. Wiping out CSRF // DEF CON. 2017

CSRF (Cross Site Request Forgery, межсайтовая подделка запроса) не теряет своей актуальности и остается неуловимой — из-за устаревшего кода, устаревших фреймворков, а также из-за того, что разработчики попросту не понимают сути этой проблемы, а если и понимают, то не знают, как от нее защититься. Докладчик в своем выступлении вводит примитивы и стратегии для проведения CSRF-атак, которые могут быть развернуты против любого веб-софта, использующего HTTP (в котором существует техническая возможность перехватывать и модифицировать HTTP-запросы и HTTP-ответы).

Современные фреймворки наконец-то стали предлагать эффективные решения для противодействия CSRF. Эти решения автоматически интегрируются в веб-софт и хорошо показывают себя в большинстве случаев. Однако множество старых приложений, а также новые приложения, которые либо не используют эти фреймворки вообще, либо используют их некорректно, по-прежнему подвержены CSRF.

Докладчик подробно разбирает, почему CSRF все еще жива, анализируя при этом примеры «полезной нагрузки», которая эксплуатирует конкретные проблемы в их различных вариациях. Докладчик проводит живую демонстрацию этих атак и показывает, как современные умные фреймворки пытаются защититься от них.

Далее докладчик показывает, как синтезировать рассмотренные примитивы в единое универсальное решение, способное проводить CSRF в подавляющем большинстве ситуаций. Объясняются ограничения умных фреймворков и эксплуатация этих ограничений. Под конец своего выступления докладчик рассматривает Same Site Cookies — новейшую технологию против CSRF — и объясняет, как и почему описанные методики распространяются и на эту технологию.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


2 комментария

  1. security

    21.03.2018 at 10:58

    Тема с опросниками посреди статей классная, только иногда вопросы напоминают детский тест. Попробуйте, пожалуйста, подходить к ним внимательнее, что ли. Очень интересно узнать по результатам опросов мнение единомышленников.
    А рубрика очень хорошая, будет здорово если выходить обзоры будут в nera-realtime. Сразу после самих конференций. Хотя бы таких как black-hat, defcon, recon.
    За проделанную работу спасибо.

Оставить мнение

Check Also

Идеальная форма. Обрабатываем сложные формы на Python с помощью WTForms

Обработка HTML-форм в веб-приложениях — несложная задача. Проблемы начинаются, когда форма…