c.m.g
04-01-2008, 01:51
3 gennaio 2008 alle 22.29
http://www.tweakness.net/imgarchive/firefox_falla.jpg
Il ricercatore di sicurezza israeliano Aviv Raff ha segnalato (http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx) l'esistenza di una vulnerabilità, alquanto preoccupante, che espone gli utenti del popolare browser open-source Firefox (http://www.tweakness.net/news.php?&keys=firefox&wherenews=HEADER) ad attacchi di furto di identità. Raff ha scoperto un modo per sfruttare un bug del browser per indurre gli utenti a inserire credenziali di accesso in una finestra di dialogo generata in maniera maliziosa.
Raff riporta (http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx): "Mozilla Firefox permette lo spoofing delle informazioni presentate nella finestra di dialogo di autenticazione base. Questo può permettere ad un attacker di condurre attacchi di phishing, inducendo un utente a credere che la finestra di autenticazione sia generata da un altro sito fidato. Il problema di sicurezza è stato verificato in Firefox 2.0.0.11 (http://www.tweakness.net/topic.php?id=4218), ma anche le versioni precedenti del browser ed altri prodotti Mozilla potrebbero essere affetti".
Dettagli tecnici: Mozilla Firefox mostra una finestra di dialogo quando il server del sito visitato restituisce un codice di stato 401, e l'header "WWW-Authenticate". In modo da specificare autenticazione di base (http://aviv.raffon.net/ct.ashx?id=d7ac10b1-2fe9-43f3-a445-48b6ea890747&url=http%3a%2f%2fwww.faqs.org%2frfcs%2frfc2617.html), l'header "WWW-Authenticate" dovrebbe avere il valore (senza parentesi). Il valore Realm, in questo caso XXX, sarà mostrato nella finestra di dialogo di autenticazione. Sebbene Firefox non mostri i caratteri nel valore Realm del header "WWW-Authenticate" dopo l'ultima virgoletta ("), non esegue una validazione di virgolette singole (') e spazi. Questo rende possibile per un attacker creare un valore Realm che faccia sembrare che la finestra di autenticazione provenga da un altro sito fidato.
http://www.youtube.com/watch?v=NaCPw1s3GFw&eurl=http://www.tweakness.net/topic.php?id=4283
[B]Secondo Raff, esistono almeno due possibili vettori di attacco per sfruttare la vulnerabilità:
1. Un attacker crea una pagina web con un link ad un sito web fidato (es.: Banca, PayPal, Webmail, etc.). Quando la vittima clicca sul link, la pagina web sarà aperta in una nuova finestra, ed uno script sarà eseguito per re-dirigere la nuova finestra aperta al web server dell'attacker, che poi restituirà la risposta di autenticazione base, modificata ad arte.
2. Un attacker integra una immagine (che punta al server web dell'attacker, che restituisce la risposta di autenticazione base, modificata ad arte) in: a) un messaggio di posta che sarà inviato ad un utente webmail. b) un feed RSS che sarà visualizzato in un reader di flussi. c) Una pagina forum/blog/rete sociale.
Raff ha pubblicato anche un video per dimostrare uno scenario di attacco, ma non ha voluto pubblicare un codice proof-of-concept. Fino a quando Mozilla non correggerà la falla, il ricercatore consiglia di evitare di inserire username e password in siti web che mostrano questo tipo di finestre di dialogo.
netquik ([email protected])
Approfondimenti:
Aviv Raff On .NET Blog (http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx)
Commento @ Zero Day (http://blogs.zdnet.com/security/?p=777)
Fonte: Aviv Raff (http://aviv.raffon.net/) via Tweakness (http://www.tweakness.net/index.php?topic=4283)
http://www.tweakness.net/imgarchive/firefox_falla.jpg
Il ricercatore di sicurezza israeliano Aviv Raff ha segnalato (http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx) l'esistenza di una vulnerabilità, alquanto preoccupante, che espone gli utenti del popolare browser open-source Firefox (http://www.tweakness.net/news.php?&keys=firefox&wherenews=HEADER) ad attacchi di furto di identità. Raff ha scoperto un modo per sfruttare un bug del browser per indurre gli utenti a inserire credenziali di accesso in una finestra di dialogo generata in maniera maliziosa.
Raff riporta (http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx): "Mozilla Firefox permette lo spoofing delle informazioni presentate nella finestra di dialogo di autenticazione base. Questo può permettere ad un attacker di condurre attacchi di phishing, inducendo un utente a credere che la finestra di autenticazione sia generata da un altro sito fidato. Il problema di sicurezza è stato verificato in Firefox 2.0.0.11 (http://www.tweakness.net/topic.php?id=4218), ma anche le versioni precedenti del browser ed altri prodotti Mozilla potrebbero essere affetti".
Dettagli tecnici: Mozilla Firefox mostra una finestra di dialogo quando il server del sito visitato restituisce un codice di stato 401, e l'header "WWW-Authenticate". In modo da specificare autenticazione di base (http://aviv.raffon.net/ct.ashx?id=d7ac10b1-2fe9-43f3-a445-48b6ea890747&url=http%3a%2f%2fwww.faqs.org%2frfcs%2frfc2617.html), l'header "WWW-Authenticate" dovrebbe avere il valore (senza parentesi). Il valore Realm, in questo caso XXX, sarà mostrato nella finestra di dialogo di autenticazione. Sebbene Firefox non mostri i caratteri nel valore Realm del header "WWW-Authenticate" dopo l'ultima virgoletta ("), non esegue una validazione di virgolette singole (') e spazi. Questo rende possibile per un attacker creare un valore Realm che faccia sembrare che la finestra di autenticazione provenga da un altro sito fidato.
http://www.youtube.com/watch?v=NaCPw1s3GFw&eurl=http://www.tweakness.net/topic.php?id=4283
[B]Secondo Raff, esistono almeno due possibili vettori di attacco per sfruttare la vulnerabilità:
1. Un attacker crea una pagina web con un link ad un sito web fidato (es.: Banca, PayPal, Webmail, etc.). Quando la vittima clicca sul link, la pagina web sarà aperta in una nuova finestra, ed uno script sarà eseguito per re-dirigere la nuova finestra aperta al web server dell'attacker, che poi restituirà la risposta di autenticazione base, modificata ad arte.
2. Un attacker integra una immagine (che punta al server web dell'attacker, che restituisce la risposta di autenticazione base, modificata ad arte) in: a) un messaggio di posta che sarà inviato ad un utente webmail. b) un feed RSS che sarà visualizzato in un reader di flussi. c) Una pagina forum/blog/rete sociale.
Raff ha pubblicato anche un video per dimostrare uno scenario di attacco, ma non ha voluto pubblicare un codice proof-of-concept. Fino a quando Mozilla non correggerà la falla, il ricercatore consiglia di evitare di inserire username e password in siti web che mostrano questo tipo di finestre di dialogo.
netquik ([email protected])
Approfondimenti:
Aviv Raff On .NET Blog (http://aviv.raffon.net/2008/01/02/YetAnotherDialogSpoofingFirefoxBasicAuthentication.aspx)
Commento @ Zero Day (http://blogs.zdnet.com/security/?p=777)
Fonte: Aviv Raff (http://aviv.raffon.net/) via Tweakness (http://www.tweakness.net/index.php?topic=4283)