Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Cookiejacking

2011.05.27. 15:13 | buherator | 2 komment

Rosario Valotta egy igen érdekes, javítatlan Internet Explorer sebezhetőséget, és egy hozzá kapcsolódó támadási láncot tett közzé, melynek lefutása után - némi felhasználói körzeműködéssel - megszerezhetők a böngészőben tárolt sütik.

Az IE sebezhetőség rém egyszerű: Egy Internet zónában működő IFRAME betölthet egy süti fájlt egy IFRAME-be.

A dolog innentől válik trükkössé, ugyanis egyrészt a sütik útvonala függ a bejelentkezett felhasználó nevétől, másrészt a same-origin policy megkerülésével valahogy ki kéne varázsolni a süti tartalmát a támadó oldal kontextusába.

A felhasználónév megszerzését Valotta egy független csatornán oldotta meg, kihasználva, hogy az IE NTLM autentikációra kényszeríthető, ha egy UNC útvonal (\\server\megosztás) betöltésére kérjük. Az autentikáció során pedig nyílt szövegként közlekedik a felhasználónév. Így egy támadó beágyazhat egy, a saját szerveréről fájlmegosztáson keresztül elérhető képre mutató hivakozást, majd a 445-ös porton figyelve elkapkodhatja azoknak a felhasználóneveit, akik megnézték a rosszindulatú weboldalt.

Innentől kezdve tudjuk az útvonalat (a User-Agentből kiolvasható az oprendszer, böngésző verzió), tehát be tudjuk tölteni a sütit egy IFRAME-be. Itt viszont a same-origin policy gátat szab a további automatizálásnak, a felhasználó segítségét kell kérni.  

Ehhez egy clickjackinghez hasonló módszer használható: ha a süti tartalmát eltüntetjük, alá pedig egy képet helyezünk, és rávesszük a felhasználót, hogy drag'n'drop módszerrel mozgassa arrébb azt, a felhasználó a szöveget ki fogja mozgatni az IFRAME-ből, és le fogja dobni a külső weboldalon, a támadó kontextusában.

A fent is látható egyszerű demo hatékonyságát mutatja, hogy Valotta 150 Facebook ismerőséből 80 bedőlt a trükknek.

Címkék: internet explorer cookiejacking rosario valotta

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2011.05.30. 06:35:55

A cikkből kimaradt, de fontos infó, hogy httponly cookie-kon is működik :)

Joe80 2011.06.01. 09:34:56

Ugye csak az előre bedrótozott cookie neveket tudja, tehát nem tudja listázni az összes cookiet?