venerdì 31 agosto 2012

Cybercriminali potrebbero adottare nuovo metodo phishing utilizzando URI


In un documento [PDF] recentemente rilasciato da Henning Klevjer, uno studente di information security presso l'Università di Oslo in Norvegia, dimostra che i criminali informatici possono migliorare gli attacchi di phishing basandosi sullo standard delle comunicazioni noto come l'Uniform Resource Identifier (URI). L'esperto spiega che l'attaccante potrebbe sviluppare pagine di phishing autonome, il cui contenuto può essere codificato in Base64 per mascherare le sue reali intenzioni. Questa pagina può essere codificata e quindi inserito all'interno di un URI.

In sostanza, gli URI sono URL che non puntano a postazioni remote, piuttosto, essi includono tutti i dati che sono visualizzati all'utente. Il termine comprende il più noto Uniform Resource Locator (URL) e Uniform Resource Name (URN). Tuttavia, mentre gli URL indicano la posizione di una risorsa di rete specifica e come deve essere letta (cioè con HTTP, HyperText Transfer Protocol), gli URI sono più flessibili e possono anche essere utilizzati per ospitare i dati dei "link to".


Secondo Paul Roberts, ingegnere di Sophos, Klevjer ha dimostrato le sue scoperte con la creazione di una falsa di pagina di Wikipedia utilizzando questa tecnica. A quanto pare, è stato in grado di ridurre l'URI abbastanza grande (24.682 caratteri) in soli 26 caratteri utilizzando i servizi di abbreviazione degli URL, che a quanto pare giocano un ruolo chiave in questi attacchi. L'intenzione è di indurre le vittime che ricevono il link a cliccare su di esso, lanciando il loro browser web.

Ogni moderno browser supporta lo schema URI e renderà l'URI codificato come una pagina nel browser della vittima. Il metodo di attacco URI non è nuovo. Nel 2007, i ricercatori Billy "BK" Rios e McFeters Nathan hanno esplorato attacchi simili [PDF] contro i browser IE6 e IE7 di Microsoft che sfruttavano la funzionalità senza documenti per la gestione degli URI. L'uso di URI dà la possibilità ai pirati informatici sofisticati di poter iniziare la circolazione di pagine phishing individuali mirate ad un certo numero di vittime.


Il metodo vince anche le difese contro gli attacchi di phishing tradizionali, come ad esempio il filtraggio web e gestione della reputazione, perché le vittime non avrebbero bisogno di comunicare con un server di attacco, sostiene Klevjer. E il metodo non è limitato agli attacchi phishing. Klevjer ha scritto una e-mail a Naked Security, nella quale spiega che il ricercatore di sicurezza norvegese Per Thorsheim ha sottolineato che un URI dati potrebbe contenere anche una applet Java (compromesso). A tal proposito vale la pena ricordare la pericolosa vulnerabilità Java zero-day scoperta questa settimana.

"Il problema è che ci sono poche difese contro questo tipo di phishing. Il Web Browser non si connette a qualsiasi risorsa esterna per visualizzare il phishing, a meno che le immagini sono incluse da siti remoti (che potrebbero anche essere incorporati). L'unico limite è la dimensione che il browser impone agli URL", ha spiegato Johannes Ullrich, ricercatore di SANS. Se vengono utilizzati short URL, per esempio, il contenuto dannoso si troverà all'interno di un collegamento. Ullrich fa notare, però, che gli aggressori avrebbero ancora bisogno di gestire una infrastruttura di backend per ricevere i dati rubati nell'attacco.



Tuttavia, egli dice che i pirati informatici sofisticati potrebbero anche sgattaiolare i dati rubati utilizzando un modulo per la richiesta DNS appositamente predisposto, che trasferirebbe le credenziali di accesso ad un sistema remoto. Prospettando un tentativo di phishing, sarà possibile inserire il modulo, ma ci sarà ancora bisogno di un server web per ricevere i dati. A meno che, naturalmente, sia  possibile exfiltrare questo DNS. Di seguito un piccolo proof of concept HTML / javascript per spiegare ciò.

"L'uso di URI per scopi dannosi non è una novità, ma è chiaro che la ricerca appena andrà avanti su questo argomento, i criminali informatici rivolgeranni la loro attenzione ad esso. Attualmente, alcuni browser web sono progettati per mitigare tali attacchi. Per esempio, Chrome reindirizza i blocchi per gli URL dei dati e versioni più recenti di Internet Explorer limitano la quantità di dati che possono essere confezionati. Tuttavia, Opera e Firefox  (recentemente aggiornato da Mozilla alla versione 15) li eseguono senza alcuna difficoltà.

1 commento: