HWSW

Végzetes böngészős kártevőt mutatott be egy magyar kutató

Magyar IT-biztonsági kutató mutatott be egy távolról vezérelhető károkozót, ami böngészőkiegészítőként fut, de képes weboldalak tartalmának megjelenítését módosítani, fájlokat indítani, fiókadatokat lopni, sőt, képes kijátszani kétlépcsős azonosítást is.

Balázs Zoltán, a Deloitte IT-biztonsági szakértője [1] olyan proof-of-concept kártevőt készített, amivel fel szeretné hívni a figyelmet a böngészők beépülő moduljainak biztonsági hiányosságaira, amit még a vírusvédelmi iparág sem kezel kellő komolysággal. A kutató azt tervezi, hogy a kártevő forráskódját a GitHubon teszi közzé jövő héten a prezentációja alatt, amit a Hacker Halted biztonsági konferenciáján tart a floridai Miamiban. Az nagyobb antivírus szoftverek gyártóival az információt már megosztotta a kutató, így a jövő heti publikálás után már komoly károkat ez az adott kód nem okozhat élesben.

Lila köd

Korábban is volt már arra példa, hogy bűnözők kártékony böngészőkiegészítőket használtak, tavaly például a Wikimedia Foundation jelezte, hogy egy terjedő Google Chrome kiegészítő hirdetéseket helyez el a Wikipedia oldalakon. A magyar szakértő által bemutatott megoldás azonban ennél sokkal messzebb képes menni. A demonstrációs célra létrehozott Firefox, Chrome és Safari alatt működő kiegészítők (később érkezik az IE változat is) képesek session cookie-kat ellopni és be tudnak avatkozni a kétlépcsős azonosítás folyamatába is, például abba, amit a Google használ. Így a bűnözők könnyen képesek begyűjteni belépési adatokat számtalan webes szolgáltatásnál.

A Firefoxon futó verzió ezen felül képes jelszavakat is lopni a böngésző beépített jelszótárolójából, sőt, tud fájlokat letölteni és elindítani is Windows operációs rendszer alatt. Tudja módosítani a weboldalak megjelenő tartalmát, tud képernyőmentést csinálni, de fotót is a webkamerával a böngészőben futó Flash komponensen keresztül. A kártevő HTTP proxyként viselkedik, ami lehetővé teszi, hogy a támadó kommunikáljon a szerverrel az áldozat belső hálózatán keresztül.

Minden böngésző érintett

Mivel a Firefox platformokon átívelő megoldásokat használ, ezért ugyan csökkentett funkcionalitással, de a trükkök működnek Firefox for Android alatt is. Az operációs rendszer korlátozásai miatt bizonyos dolgok nem működnek, cserébe viszont a kiegészítő pontos helyadatokat képes szolgáltatni. A Chrome-verzió egyelőre nem tud fájlokat letölteni és futtatni, de ez nem azt jelenti, hogy ne lenne lehetséges, egyszerűen a magyar kutatónak még nem volt ideje implementálni ezeket a képességeket - írja az amerikai Computerworld. [2]

Mivel a Chrome támogatja a Native Client sandbox technológiát, ami lehetővé teszi a webes alkalmazásoknak, hogy C vagy C++ kódot futtassanak a böngészőben, ezért itt megoldható az is, hogy a böngészőbe épülő kiegészítő hatékonyan törjön jelszavakat hash adatokból. A Safari verzió pedig azért egyszerű, mert a Chrome kiegészítők egyszerű automatizmusokkal konvertálhatóak oda.

A megfertőzött böngésző pontosan úgy irányítható, mint egy botnet kliens, a kiegészítő egy weboldalról kapja az utasításokat és az információt HTTP-n keresztül tölti vissza a támadóknak. Mivel ez teljesen semlegesnek tűnő HTTP forgalomnak látszik, ezért helyi és hálózati szinten is nagyon nehéz, szinte lehetetlen szűrni. A helyzetet súlyosbítja, hogy ez gyakorlatilag már nem is számítógépekre korlátozza a hatalomátvételt, hanem általában véve felhasználót fertőz, mivel egyes böngészők képesek több eszköz között szinkronizálni a beállításokat, kiegészítőket, így a kártevő például az otthoni, vagy éppen a munkahelyi gépre is automatikusan átköltözhet.

Terjesztés

A terjesztés nehézsége azonban változó a különböző böngészőknél. A Firefox esetében a legegyszerűbb módszer a social engineering, azaz a felhasználó becsapása, az emberi gyengeség kihasználása. Egy weboldalon keresztül kezdeményezzük a telepítést, a felhasználóval pedig el kell hitetni, hogy az általa várt tartalom betöltődésének előfeltétele ez a lépés. Chrome esetében nehezebb a helyzet, ott kizárólag a hivatalos web store-ból lehet telepíteni kiegészítőt, így a fenti módszer csak akkor működik, ha sikerül a katalógusba bejuttatni a kártevőt. Mindkét böngészőnél lehetséges viszont az offline telepítés: egyszerűen be kell másolni a fájlokat a megfelelő mappákba és módosítani a konfigurációs állományokat. Ehhez csupán annyi kell, hogy a támadónak már eleve legyen kódfuttatási jogosultsága, amit egy másik kártevővel távolról is el lehet érni.

xA figyelmes felhasználót persze még akkor sem lehet átverni, ha véletlenül elindul a folyamat. A Chrome-ban egyáltalán nincs csendes telepítés, de a Firefox is jelzi, listázza az új vagy megváltozott kiegészítőket. Balázs Zoltán szerint szükségszerű lenne, hogy a Mozilla és az Apple is korlátozza egy központi piactérre a telepítéseket, illetve az antivírus cégeknek is sokkal jobban oda kellene figyelni erre a területre.

Miután a kutató bemutatta az antivírus fejlesztőknek a kódot, s azok beillesztették az új mintát a felismerő algoritmusba, az egy egyszerű kódmódosítás után újra láthatatlan volt. A biztonsági szoftverek jelenleg értékelhetetlen teljesítményt nyújtanak az ilyen kártevők észlelésében.

A cikkben hivatkozott linkek:
[1] http://hu.linkedin.com/in/zbalazs
[2] http://www.computerworld.com/s/article/9232848/Researcher_to_demonstrate_feature_rich_malware_that_works_as_a_browser_extension
A cikk adatai:
//www.hwsw.hu/hirek/49250/bongeszo-kiegeszito-extension-malware-kartevo-jelszo-lopas-http-proxy.html
Író: Dojcsák Dániel (dojcsak.daniel kukac hwsw.hu)
Dátum: 2012. október 25. 13:04
Rovat: vállalati it