Falla password per Firefox 2

by

 

É stata svelata una vulnerabilità critica in Firefox 2, la nuova versione del browser open-source di Mozilla, che risiede nella funzione Password Manager e può essere sfruttata in attacchi di identity theft per accedere alle credenziali (Nome utente e password) salvate per una determinata pagina web da un’altra pagina pubblicata nel medesimo dominio, all’insaputa dell’utente vittima. Questo problema è emerso dalla scoperta iniziale di Netcraft di un attacco RCSR in-the-wild per MySpace.

Come riporta Chapin Information Services (CIS) in un documento di analisi del bug, questa falla potrebbe essere utilizzata dagli attacker per colpire qualsiasi utente che sta visitando un blog o un forum che consentono l’aggiunta di codice HTML. Data la natura dell’attacco il CIS ha classificato questa tecnica come Reverse Cross-Site Request (RCSR). CIS ha reso disponibile un proof-of-concept che permette di testare i browser e la vulnerabilità. Bisogna notare che gli attacchi RCSR colpiscono anche Internet Explorer, ma la falla presente in Firefox rende queste tecniche di exploit molto più efficaci sul browser di Mozilla.

CIS commenta: “L’incidente (l’attacco RCSR a MySpace.com) prevedeva l’uso di form di login fasulli nei profili utenti del sito web MySpace che invitavano i visitatori a digitare il loro nome utente e password (riproducendo il form di login del sito stesso). I form e i link possono essere usati in maniera simile per condurre attacchi di Cross-Site Request Forgery (CSRF). La differenza tra CSRF e la nuova generazione di attacchi RCSR sta nella direzione del flusso di dati. Gli attacchi CSRF vengono usati comunemente per aggiungere contenuti ad un blog o forum all’insaputa dell’utente. Questo può essere eseguito tramite il “forging” di un link o form che non vengono verificati correttamente rispetto all’utente. RCSR, al contrario, prende i contenuti dal blog o forum creando un form sul sito web che riporta all’attacker”.

Secondo CSI né Firefox né IE eseguono il controllo della destinazione dei dati del form prima dell’invio degli stessi.

A quanto pare la falla in Firefox, che consente l’autofill delle credenziali in questo tipo di form RCSR, è stata segnalata a Mozilla da CSI una decina di giorni fa. Questo preciso problema non si verifica in IE a meno che il form RCSR compaia sulla stessa pagina del form di login legittimo. Un altro fattore aggravante sta nel fatto che questi form possono essere totalmente nascosti alla visualizzazione. Come dimostra il PoC di CIS, dopo aver salvato una password di una pagina con Firefox, è possibile che questa venga trasmessa ad un altro sito web tramite un click non voluto su una immagine link invisibile.

Mozilla ha confermato l’esistenza del bug (#360493), ha realizzato un test case dedicato, e ha dichiarato di star lavorando ad un fix che sarà incluso nell’aggiornamento 2.0.0.1 o 2.0.0.2 di Firefox. Secondo le informazioni disponibili in rete, anche il progetto SeaMonkey è affetto dalla vulnerabilità. Testati con il PoC di Mozilla, IE7 si è mostrato solo parzialmente vulnerabile (elenca le credenziali senza distinguere il fake dall’originale, ma non esegue il completamento dei campi), mentre Opera 9.02 sembra non essere vulnerabile (distingue correttamente le due destinazioni di submit).

In questi casi è fortemente consigliato prestare la massima attenzione durante l’invio di form contenenti credenziali di accesso. Come soluzione temporanea “stopgap” per Firefox è possibile disattivare la funzione di salvataggio password del browser: Strumenti – Opzioni, Tab Sicurezza, Ricorda la password dei siti. In alternativa è consigliabile usare l’estensione Master Password Timeout, che almeno genera un prompt prima del completamento dei campi. In questo caso tuttavia bisogna considerare che lo schema di attacco usato per login.myspace.com riproduceva fedelmente il sito legittimo, e questo potrebbe comunque trarre in inganno l’utente.

Per quanto riguarda il problema degli attacchi RCSR, CSI ha suggerito a Mozilla e Microsoft varie modifiche al codice dei loro due prodotti browser, in grado di impedire o scoraggiare tale tecnica. Microsoft ha risposto: “Siamo a conoscenza del problema da voi segnalato … per ragioni di politica interna non possiamo commentare le nostre indagini correnti”.

Fonte Tweakness.net

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...


%d blogger cliccano Mi Piace per questo: