[NEWS] Firefox: Falla di Dialog ID Spoofing

c.m.g · 04-01-2008, 01:51

3 gennaio 2008 alle 22.29

Il ricercatore di sicurezza israeliano Aviv Raff ha segnalato l'esistenza di una vulnerabilità, alquanto preoccupante, che espone gli utenti del popolare browser open-source Firefox ad attacchi di furto di identità. Raff ha scoperto un modo per sfruttare un bug del browser per indurre gli utenti a inserire credenziali di accesso in una finestra di dialogo generata in maniera maliziosa.

Raff riporta: "Mozilla Firefox permette lo spoofing delle informazioni presentate nella finestra di dialogo di autenticazione base. Questo può permettere ad un attacker di condurre attacchi di phishing, inducendo un utente a credere che la finestra di autenticazione sia generata da un altro sito fidato. Il problema di sicurezza è stato verificato in Firefox 2.0.0.11, ma anche le versioni precedenti del browser ed altri prodotti Mozilla potrebbero essere affetti".

Dettagli tecnici: Mozilla Firefox mostra una finestra di dialogo quando il server del sito visitato restituisce un codice di stato 401, e l'header "WWW-Authenticate". In modo da specificare autenticazione di base, l'header "WWW-Authenticate" dovrebbe avere il valore [Basic realm="XXX"] (senza parentesi). Il valore Realm, in questo caso XXX, sarà mostrato nella finestra di dialogo di autenticazione. Sebbene Firefox non mostri i caratteri nel valore Realm del header "WWW-Authenticate" dopo l'ultima virgoletta ("), non esegue una validazione di virgolette singole (') e spazi. Questo rende possibile per un attacker creare un valore Realm che faccia sembrare che la finestra di autenticazione provenga da un altro sito fidato.

http://www.youtube.com/watch?v=NaCPw...ic.php?id=4283

Secondo Raff, esistono almeno due possibili vettori di attacco per sfruttare la vulnerabilità:

1. Un attacker crea una pagina web con un link ad un sito web fidato (es.: Banca, PayPal, Webmail, etc.). Quando la vittima clicca sul link, la pagina web sarà aperta in una nuova finestra, ed uno script sarà eseguito per re-dirigere la nuova finestra aperta al web server dell'attacker, che poi restituirà la risposta di autenticazione base, modificata ad arte.
2. Un attacker integra una immagine (che punta al server web dell'attacker, che restituisce la risposta di autenticazione base, modificata ad arte) in: a) un messaggio di posta che sarà inviato ad un utente webmail. b) un feed RSS che sarà visualizzato in un reader di flussi. c) Una pagina forum/blog/rete sociale.

Raff ha pubblicato anche un video per dimostrare uno scenario di attacco, ma non ha voluto pubblicare un codice proof-of-concept. Fino a quando Mozilla non correggerà la falla, il ricercatore consiglia di evitare di inserire username e password in siti web che mostrano questo tipo di finestre di dialogo.

netquik

Approfondimenti:

Aviv Raff On .NET Blog

Commento @ Zero Day

Fonte: Aviv Raff via Tweakness

xcdegasp · 04-01-2008, 02:21

il modello di pop-up è coem quello del proxy del mio ufficio che mi chiede l'autenticazione per accedere ad internet...
a casa non digiterei mai nulla in pop-up di quelle sembianze

sampei.nihira · 04-01-2008, 15:54

Molto interessante,veramente interessante,grazie (per l'ennessima volta) c.m.g.

Ti disturba c.m.g se linko (naturalmente riportando che sei tu l'autore) quest'articolo in un forum della mia città ?

c.m.g · 04-01-2008, 17:54

Quote:

Originariamente inviato da sampei.nihira

Molto interessante,veramente interessante,grazie (per l'ennessima volta) c.m.g.

Ti disturba c.m.g se linko (naturalmente riportando che sei tu l'autore) quest'articolo in un forum della mia città ?

no, no, puoi farlo, anzi devi farlo! la sicurezza non è un optional ma deve essere un qualcosa "di serie" per tutti. comunque non sono io l'autore ma ho solo riportato una notizia scritta da altri

l'autore è: netquik

c.m.g · 04-01-2008, 18:13

se ne parla anche da WebNews:

http://www.webnews.it/news/leggi/744...o-per-firefox/

_MaRcO_ · 05-01-2008, 13:27

Quote:

Originariamente inviato da deepdark

E dire che una volta ci vantavamo della sua sicurezza

Cmq, per me, rimane il migliore.

beh come si dice "nulla è perfetto", auspichiamo in una patch o simile al più presto (comunque tra un po' esce firefox 3 quindi

)

ciao

04-01-2008, 01:51	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Firefox: Falla di Dialog ID Spoofing 3 gennaio 2008 alle 22.29 Il ricercatore di sicurezza israeliano Aviv Raff ha segnalato l'esistenza di una vulnerabilità, alquanto preoccupante, che espone gli utenti del popolare browser open-source Firefox ad attacchi di furto di identità. Raff ha scoperto un modo per sfruttare un bug del browser per indurre gli utenti a inserire credenziali di accesso in una finestra di dialogo generata in maniera maliziosa. Raff riporta: "Mozilla Firefox permette lo spoofing delle informazioni presentate nella finestra di dialogo di autenticazione base. Questo può permettere ad un attacker di condurre attacchi di phishing, inducendo un utente a credere che la finestra di autenticazione sia generata da un altro sito fidato. Il problema di sicurezza è stato verificato in Firefox 2.0.0.11, ma anche le versioni precedenti del browser ed altri prodotti Mozilla potrebbero essere affetti". Dettagli tecnici: Mozilla Firefox mostra una finestra di dialogo quando il server del sito visitato restituisce un codice di stato 401, e l'header "WWW-Authenticate". In modo da specificare autenticazione di base, l'header "WWW-Authenticate" dovrebbe avere il valore [Basic realm="XXX"] (senza parentesi). Il valore Realm, in questo caso XXX, sarà mostrato nella finestra di dialogo di autenticazione. Sebbene Firefox non mostri i caratteri nel valore Realm del header "WWW-Authenticate" dopo l'ultima virgoletta ("), non esegue una validazione di virgolette singole (') e spazi. Questo rende possibile per un attacker creare un valore Realm che faccia sembrare che la finestra di autenticazione provenga da un altro sito fidato. http://www.youtube.com/watch?v=NaCPw...ic.php?id=4283 Secondo Raff, esistono almeno due possibili vettori di attacco per sfruttare la vulnerabilità: 1. Un attacker crea una pagina web con un link ad un sito web fidato (es.: Banca, PayPal, Webmail, etc.). Quando la vittima clicca sul link, la pagina web sarà aperta in una nuova finestra, ed uno script sarà eseguito per re-dirigere la nuova finestra aperta al web server dell'attacker, che poi restituirà la risposta di autenticazione base, modificata ad arte. 2. Un attacker integra una immagine (che punta al server web dell'attacker, che restituisce la risposta di autenticazione base, modificata ad arte) in: a) un messaggio di posta che sarà inviato ad un utente webmail. b) un feed RSS che sarà visualizzato in un reader di flussi. c) Una pagina forum/blog/rete sociale. Raff ha pubblicato anche un video per dimostrare uno scenario di attacco, ma non ha voluto pubblicare un codice proof-of-concept. Fino a quando Mozilla non correggerà la falla, il ricercatore consiglia di evitare di inserire username e password in siti web che mostrano questo tipo di finestre di dialogo. netquik Approfondimenti: Aviv Raff On .NET Blog Commento @ Zero Day Fonte: Aviv Raff via Tweakness __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 04-01-2008 alle 17:59.

04-01-2008, 02:21	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	il modello di pop-up è coem quello del proxy del mio ufficio che mi chiede l'autenticazione per accedere ad internet... a casa non digiterei mai nulla in pop-up di quelle sembianze __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

04-01-2008, 18:13	#5
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	se ne parla anche da WebNews: http://www.webnews.it/news/leggi/744...o-per-firefox/ __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 04-01-2008 alle 19:19.

04-01-2008, 15:54	#3
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Molto interessante,veramente interessante,grazie (per l'ennessima volta) c.m.g. Ti disturba c.m.g se linko (naturalmente riportando che sei tu l'autore) quest'articolo in un forum della mia città ?

Strumenti
Mostra una versione stampabile Invia questa pagina per email