Een ernstig probleem is geïdentificeerd in de Microsoft Edge en Safari browsers zoals ze zijn gevonden om adresbalk spoofing. Deze kwetsbaarheid maakt het mogelijk kwaadaardige code aan de gebruikers en leiden tot mogelijke virusinfecties omleiden.
Address Bar spoofing beveiligingslek treft Microsoft Edge en Safari
A-Pakistaanse gebaseerde beveiliging specialist Rafay Baloch gemeld dat zowel Microsoft Edge en Safari bezitten een adresbalk spoofing. De verklaring werd afgelegd nadat hij de browsers met een proof-of-concept JavaScript-code getest. De tests geven aan dat op verzoek van een niet-bestaande poort een race condition wordt geactiveerd in het geheugen proces waardoor kwaadaardige code naar het adres spoofen. Naar aanleiding van het rapport een beveiligingsadvies werd toegewezen en de twee bedrijven werden aangemeld. De kwestie wordt bijgehouden in CVE-2018-8383 en de beschrijving leest de volgende:
Een spoofing beveiligingslek ontstaat wanneer Microsoft Edge HTTP-inhoud niet goed ontleden, aka “Microsoft Edge spoofing.” Dit heeft invloed op Microsoft Edge. Dit CVE-ID is uniek ten opzichte van CVE-2018-8388.
Misbruik van dit lek kan worden gedaan door het gevaarlijke script interactie. Een website plugin (Adobe Flash bijvoorbeeld) kan de conflictsituatie activeren door op JavaScript-code. Dit kan ofwel automatisch of door de gebruiker interactie. Microsoft heeft de bug gepatcht de update Patch Tuesday augustus. Volgens hun eigen onderzoek is het waarschijnlijk dat hackers zullen proberen en gebruik maken van de Microsoft Edge kwetsbaarheid. Er zijn veel payload dragers die JavaScript-code kan insluiten en dit is een legitieme zorg.
Hetzelfde probleem werd waargenomen in Safari - de gebruikelijke veiligheidsmaatregelen kan worden omzeild door het injecteren van specifieke code. Apple kreeg 90 dagen om de kwetsbaarheid te repareren maar ze het niet hebben gepatcht tijdig. Als gevolg details over de kwestie zijn nu publiek beschikbaar.
De browser zelf staat niet toe dat de slachtoffers om gebruikersgegevens te typen in invoervelden terwijl de pagina's worden geladen. Dit is de standaard beschermende maatregelen echter de proof-of-concept code toont duidelijk aan dat deze beperkingen kunnen worden omzeild. Dit gebeurt door het simuleren toetsenbordinvoer in het vervalste pagina.
Aan het eind van de adresbalk spoofing kan de criminelen het slachtoffer omleiden naar een vooraf gedefinieerde-hacker gecontroleerde pagina. Het kan leiden tot een van deze gevaren:
- Malware Virus Delivery - De pagina's kunnen een automatische virus bestanden versturen triggeren. Bij interactie met de kwaadaardige element zal de gebruikers zelf te infecteren met de desbetreffende payload: ransomware, Trojaans, Miner etc.
- script Redirect - De spoof code kan worden gebruikt om de gebruikers een bezoek aan een ad-besmette pagina. Dit kan ook leiden tot het openen van banners, pop-ups, omleidingen en etc. Elk bezoek zal resulteren in het genereren van inkomsten voor de operators.
- Miner Infectie - In een aantal gevallen zijn de einddoelen zijn cryptogeld mijnwerker infecties. Zij profiteren van de beschikbare systeembronnen om complexe berekeningen uit te voeren. Toen ze met succes worden afgerond door de gastheren digitale munt zal automatisch worden bijgeschreven op de hacker operators.
Tot nu toe grote incidenten zijn niet gemeld. Opnieuw raden we dat alle Microsoft Windows-gebruikers de nieuwste beveiligingsupdates van toepassing zal zijn en dat Apple een patch zal vrijgeven zo snel mogelijk om de kwetsbaarheid aan te pakken.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: