martedì 15 marzo 2011

Worm Facebook si propaga su bacheche e chat attraverso vulnerabilità XSS


Una vulnerabilità cross-site scripting su Facebook è stata sfruttata dagli hacker per creare un worm XSS con lo scopo di distribuire spam di prodotti per la perdita di peso. Secondo i ricercatori di sicurezza di Symantec che hanno analizzato l'attacco, la persistente vulnerabilità XSS leveraged è situata da qualche parte nel modulo di pubblicazione delle applicazioni.

Questo ha permesso agli  aggressori di iniettare codice JavaScript maligno in modo permanente tramite applicazioni di pagine Facebook canaglia, appositamente predisposte. Poiché le pagine sono risultate ospitate in Facebook.com, il codice canaglia è stato eseguito dal browser, nel contesto del dominio.

Normalmente la sceneggiatura dovrebbe essere rimossa dai filtri antispam prima che la pagina venga mostrata all'utente, ma in questo caso, è stata in grado di passarne attraverso. Lo script maligno sarà poi eseguito nel contesto di Facebook.com, che permette di effettuare le richieste quali la sessione dell'utente. Tenete a mente questo avviene prima che la domanda richieda alcuna autorizzazione.


Connessi a Facebook è sufficiente visitare la pagina appositamente predisposta per farla partire, come quando un utente visualizza dei nuovi messaggi. Questo ha permesso agli aggressori di agire alle spalle degli utenti autenticati e abusare di loro per eseguire azioni non autorizzate. I collegamenti alle pagine canaglia venivano distribuiti tramite messaggi privati ​​che recitavano:

"Hey, What the hell are you doing in this video? Is this dancing or what?? lol [link]" ("Ehi, che diavolo stai facendo in questo video? E' questa danza o cosa? lol [link]").  Secondo gli esperti di GFI Labs, agli utenti che hanno visitato la pagina con il video veniva richiesto un falso aggiornamento di Flash Player ed è stato chiesto loro di non interrompere il processo.


Questo è stato usato come una distrazione per guadagnare tempo per eseguire l'attacco vero. Mentre gli utenti rimanevano in attesa, sullo sfondo il codice JavaScript maligno otteneva il loro ID utente e costringeva il loro browser ad inviare aggiornamenti di stato che hanno promosso i prodotti di perdita di peso e iPad gratis.

"Questi collegamenti spam puntano a pagine innocue ma fastidiose. Visitare questi siti non infetta il vostro profilo, almeno non al momento della stesura di questo articolo", hanno scritto i ricercatori di Symantec. Il codice inserito permette di leggere anche la lista dei propri amici e manda messaggi privati, come quello già citato, al fine di autopropagarsi.


Anche se in questo caso non è stato utilizzato per scopi maligni, questo tipo di attacco è decisamente più pericoloso del solito sondaggio truffe o trucchi clickjacking utilizzati dagli spammer su Facebook. Lo script che viene avviato col rilascio nascosto di richieste AJAX per ottenere la pagina del profilo utente di Facebook.

Poiché l'utente è connesso ed ha una sessione valida, lo script può eseguire tutte le azioni necessarie per inviare un post, un classico attacco di sessione. In questo caso, sarà quello di postare un link ad alcuni siti di spam. Lo script inoltre assicura che venga inviato un solo messaggio alla volta per utente, controllando se vi è già un messaggio di spam visualizzato sulla bacheca dell'utente.


I messaggi inviati variavano e venivano aggiornati dall'utente malintenzionato. Tali script iniettato maligni hanno un elevato potenziale per fare qualunque tipo di danno. Si potrebbe modificare il vostro profilo o, come in questo caso, inviare i messaggi infetti, o forse anche aggiungere applicazioni o amici. Anche se la truffa per far qualcosa del genere avrebbe bisogno di risolvere un codice CAPTCHA, si potrebbe provare con un trucco di social engineering per chiedere all'utente di risolverlo. Questo esempio è solo un altro esempio di attacchi sofisticati che vediamo su Facebook ogni giorno.


Lo stesso sistema viene utilizzato anche per servire un sito di phishing Facebook con una falsa schermata di login. Così chiaramente gli attaccanti possono eseguire varie truffe. Fortunatamente non è stato individuato un nuovo attacco che sfrutta la vulnerabilità di iniezione da altri gruppi spam. Il team di sicurezza di Facebook è stata informata e sta lavorando per trovare una patch alla vulnerabilità in breve tempo. Misure sono già in atto per bloccare ogni ulteriore tentativo di sfruttamento della vulnerabilità.

Nessun commento:

Posta un commento