Ads 468x60px

keskiviikko 30. marraskuuta 2016

Firefox 0-day tietoturva-aukko

Firefox-selaimesta on löytynyt tiistaina 29. marraskuuta erittäin vakava tietoturva-aukko. Aukon avulla voi ohittaa selaimen tietoturvamekanismit ja mahdollistaa haittakoodin suorituksen Windows-pohjaisissa koneissa. Hyödyntäminen ei myöskään ilmeisesti vaadi käyttäjältä muita toimia, kuin haittaohjelmaa levittävällä sivulla vierailun.

Hyökkäys perustuu ROP-ohjelmointiin ja haavoittuvuus laukaistaan javascriptin avulla. Alkuperäinen julkaisija laittoi jakeluun ilmeisesti myös täydellisen deobfuskoidun haittakoodin, eli laajamittaista hyväksikäyttöä on odotettavissa pian - todennäköisesti ensimmäiset kampanjat ovat jo käynnissä. Firefoxin versiot välillä 41 - 50 (uusin) ovat haavoittuvaisia ja korjausta ei vielä ole saatavilla.

Pätkä hyökkäyskoodia

Mielenkiintoisen haavasta tekee se, että sitä on ilmeisesti käytetty Tor-verkoissa. Saastuttamalla jonkin Tor-sivuston, voi saada selville Tor-käyttäjän oikean IP-osoitteen ja muut tunnistamiseen tarvittavat tiedot. Huomattavaa on myös se, että hyökkäyksessä käytetty shellcode on lähes samanlainen, kuin FBI:n vuonna 2013 hyödyntämä koodi. Tällöin paljastettiin lapsipornon levitykseen käytetty Tor-sivusto.

Saastumisen jälkeen haittaohjelma kerää koneesta mm. IP-osoitteen, MAC-osoitteen sekä Windows-koneen nimen ja lähettää nämä Ranskassa sijaitsevalle palvelimelle (IP: 5.39.27.226). Tätä kautta koneella voidaan erittäin suurella todennäköisyydellä suorittaa myös paljon muita toimenpiteitä.

Tällä hetkellä ainoa keino estää reiän hyväksikäyttö on käyttää muita selaimia, kuten Chromea tai Edgeä. Applen OSX-laitteissa ei vielä ole havaittu haavoittuvuuden hyväksikäyttöä, mutta tämäkin on todennäköisesti vain ajan kysymys.

Päivitys: Javascriptin disablointi suojaa myös haavoittuvuudelta. Tämä kuitenkin on epäkäytännöllistä useimmilla sivustoilla.

Päivitys2: Mozilla on julkaissut päivityksen. Haavoittuvuus on korjattu uusimmassa 50.0.2-versiossa.

Lähteet:

Tor-talk-postituslista:
https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html

Wordfence:
https://www.wordfence.com/blog/2016/11/emergency-bulletin-firefox-0-day-wild

Ars Technica:
http://arstechnica.com/security/2016/11/firefox-0day-used-against-tor-users-almost-identical-to-one-fbi-used-in-2013/

Mozillan virallinen korjaus:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/

Ei kommentteja:

Lähetä kommentti