Si utiliza AdBlock, AdBlock Plus o uBlock, usted debe ser consciente de que un investigador de seguridad descubrió una vulnerabilidad en sus sistemas de filtro.
La laguna puede permitir a atacantes remotos inyectar código arbitrario en páginas web. El descubrimiento fue hecho por investigador de seguridad Armin Sebastián.
Una nueva versión de Adblock Plus fue lanzado de julio 17, 2018. Versión 3.2 introducido una nueva opción de filtro para reescribir las solicitudes. Un día después AdBlock hizo lo mismo y puesto en libertad el apoyo a la nueva opción de filtro. uBlock, siendo propiedad de AdBlock, También implementado la función, explicó Sebastián.
AdBlock, AdBlock Plus o uBlock explotan Explicación
¿Cuál es la vulnerabilidad acerca? La vulnerabilidad se encuentra en la versión 3.2 del software Adblock Plus, que el año pasado introdujo una nueva opción de filtro para reescribir las solicitudes. Parece que, bajo condiciones específicas, la opción de filtro $ reescritura permite a los mantenedores de la lista de filtro para inyectar código arbitrario en las páginas web. El problema no es sólo que las extensiones tienen más de 100 millones de usuarios activos, sino también que la cuestión es trivial para explotar.
Según ha explicado el propio investigador, servicios web pueden ser explotadas con la ayuda de esta opción de filtro cuando utilizan XMLHttpRequest o ir a buscar para descargar fragmentos de código para la ejecución, al tiempo que permite a las solicitudes orígenes arbitrarios y alojamiento de una redirección abierta del lado del servidor.
Además, porque las extensiones de actualizar periódicamente los filtros a intervalos determinados por los operadores de la lista de filtro, ataques pueden ser difíciles de detectar. El operador puede establecer un tiempo de caducidad corto para la lista de filtros malicioso, que a su vez sustituido con uno benigno. Adicionalmente, tanto las organizaciones e individuos pueden orientarse en función de las direcciones IP desde las que se solicitan las actualizaciones.
Hay varias condiciones que deben cumplirse para que un servicio web para ser explotado a través de la vulnerabilidad en AdBlock. Por ejemplo, la página debe cargar una cadena JS usando XMLHttpRequest o en Obtener y ejecutar el código devuelto. Además, la página no debe restringir orígenes que se puede recuperar usando Directrices de política de seguridad de contenido, o no se debe validar la URL última petición antes de ejecutar el código descargado.
Y por último, el origen del código leída debe tener una redirección abierta del lado del servidor o debe alojar contenido usuario arbitrario. Si se cumplen estos, un ataque es posible.
Para probar la vulnerabilidad y ver cómo se puede explotar, el investigador utiliza mapas de Google. Dado que el servicio cumplió con los criterios explicados anteriormente, Sebastián escribió con éxito el código de explotación.
Los pasos que se utilizan son los siguientes:
– Instalar ya sea Adblock Plus, AdBlock o uBlock en un nuevo perfil del navegador
– Visita las opciones de la extensión y añadir la lista de filtros ejemplo, este paso está destinado a simular una actualización maliciosa a una lista de filtros por defecto
– Navegar a Google Maps
– Una alerta con “www.google.com” debería aparecer después de un par de segundos
Gmail y Google también responden a las condiciones y son explotables a través de la vulnerabilidad.
El investigador en contacto con Google para notificarles acerca de la hazaña, pero el informe se cerró como “comportamiento previsto”. Resulta que Google considera que la vulnerabilidad está presente únicamente en las extensiones del navegador. “Esta es una conclusión desafortunada, debido a que el exploit se compone de un conjunto de vulnerabilidades de extensión del navegador y de servicios web que han sido encadenados,”Señaló el investigador, y agregó que los servicios de Google no son los únicos que pueden verse afectados.
¿Qué pasa con AdBlock? De acuerdo con AdBlock Plus’ Declaración oficial, a pesar del riesgo real que es muy baja, la compañía ha decidido eliminar la opción de reescritura y, en consecuencia dará a conocer una versión actualizada de Adblock Plus tan pronto como sea técnicamente posible. La compañía también dijo que están haciendo esto como medida de precaución.
La buena noticia es que no ha habido ningún intento de abusar de la opción de reescritura. En cuanto a la mitigación, listas blancas conocida orígenes utilizando el cabecera CSP-src conectar, o la eliminación de redireccionamiento abierto del lado del servidor debe hacer el trabajo.