Il taccuino di Armando Leotta Rotating Header Image

browser

Tab-napping o tabnapping, un nuovo phishing exploit

Tra le tante cose viste, dette ed affrontate in tavole rotonde al Security Summit di ieri a Roma una in particolare mi ha colpito per la semplice genialità.

E quando si parla di tecniche di social engineering e/o di phishing la semplicità è un elemento essenziale affinchè l’attacco vada ahimè a buon fine.

Questo nuovo exploit è stato battezzato “Tab-napping” ed è un cocktail micidiale i cui ingredienti sono javascript, social engineering e browser permissivi.

Cos’è e come funziona

E’ un javascript che viene caricato all’interno di una pagina web apparentemente lecita ed innocua.

In realtà, è innocua finchè non viene cambiato il focus ad esempio aprendo una nuova tab e rendendola attiva.

A questo punto, parte un timer che dopo x secondi “trasforma” la pagina con il codice malevolo con una pagina fake recentemente visitata della quale sono appetibili le credenziali d’accesso.

Si pensi anche solamente a banche ed a servizi di posta.

Esiste un proof-of-concept in rete nel quale è previsto dopo 5 secondi la “trasformazione” della pagina “innocua” nella pagina (FAKE) di logon di gmail, ad esempio. L’utente nella fretta ed in buona fede (visto che lo script carica una pagina IDENTICA all’originale comprensivo di icona distintiva dell’indirizzo –favicon-) reinserisce le credenziali.

A quel punto il gioco è fatto (potrebbe forse spiegare recenti violazioni? Le verifiche sono ancora in corso).

Guardando il codice nulla vieta un redirect verso la vera risorsa e se il cookie è ancora valido per l’utente potrebbe risultare del tutto indifferente (vedi gmail).

Inoltre, ho verificato che non funziona solo sullo switch tra tab: funziona quando perde il focus quindi anche quando ci sono diverse istanze del browser. Questo aspetto non è da sottovalutare visto che più sono le finestre aperte e maggiore è la probabilità che passi inosservato l’inganno.

Se volete, provate, con cautela, direttamente il proof-of-concept.

Suggerimenti

Quando ci autentichiamo a servizi delicati è opportuno chiudere le finestre del browser ed aprirne una nuova dedicandola a tale attività.  Evitare il più possibile sessioni di diversa natura e finalità specialmente se prevedono autenticazione.

Al momento di inserire le credenziali di accesso assicurarsi di essere giunti su quella pagina seguendo un bookmark sicuro o avere digitato manualmente l’indirizzo possibilmente in https. In altre parole, niente link e … attenzione anche ai cambiamenti di pagina!

Usare firefox e NoScript.

*** Aggiornamento 1 ***

Ho inserito di seguito uno screencast per coloro che non vogliono vedere il poc in funzione.

_____
Clusit

Java Deployment Toolkit Injection Vulnerability

Secunia segnala una vulnerabilità particolarmente critica che permette il passaggio arbitrario di parametri a javaw.exe e la successiva esecuzione di codice arbitrario tramite il caricamento di opportune pagine web.

Firefox avvisa così (se ne parlava qui):

java deployment toolkit

java deployment toolkit (avviso di sicurezza di firefox)

Alcuni link utili:

  1. Note sull’aggiornamento (sun.com)
  2. Oracle.com security alerts (oracle.com)
  3. Download JRE / JDK com (JRE o JDK da sun.com)
  4. US CERT (Vulnerability note di US CERT)             

Quest’ultimo, in particolare, evidenzia che in alcuni casi l’aggiornamento alla Java JRE 6 Update 20 non risolve completamente ed occorre rimuovere/rinominare il file npdeploytk.dll

Nota: l’aggiornamento automatico a me non funziona e ho dovuto reinstallare l’intero pacchetto (3).

_____
Clusit

Chrome per Mac e Linux ma… non scaricatelo!

Google chrome for mac

Google chrome for mac

Tanto rumore per nulla.

Dopo tanta attesa,  il rilascio del tanto annunciato chrome per i S.O. Mac OsX e Linux fa parlare di sè.

Su Chronium blog campeggia il post “Danger: Mac and Linux builds available”:

In order to get more feedback from developers, we have early developer channel versions of Google Chrome for Mac OS X and Linux, but whatever you do, please DON’T DOWNLOAD THEM! Unless of course you are a developer or take great pleasure in incomplete, unpredictable, and potentially crashing software.

How incomplete? So incomplete that, among other things , you won’t yet be able to view YouTube videos, change your privacy settings, set your default search provider, or even print.

Meanwhile, we’ll get back to trying to get Google Chrome on these platforms stable enough for a beta release as soon as possible!

Anche Sophos evidenzia le criticità.

Non è una versione stabile, non è una beta, non è una pre-beta, non è nemmeno una versione alfa ma sembrerebbe essere una build incompleta e destinata solo agli sviluppatori.

 

Quindi, scaricatela solo se volete aiutare gli sviluppatori ma non usatelo in ambiente di esercizio.

Warning: falla su Safari

safari2Sono diversi i siti in cui viene riportata la scoperta di una falla nel browser Safari (sia MAC che Windows) che risiede nella gestione dei feed RSS.

Il rischio, spiega Brian Mastenbrook, accreditato di avere già scoperto diverse vulnerabilità in passato, è la perdita di riservatezza dei dati presenti sul disco rigido dell’ignaro utente.

Un  malintenzionato, con una pagina web creata ad hoc, potrebbe ottenere l’accesso a dati riservati, email, cookie e dunque potenzialmente mettere a serio repentaglio la sicurezza di tutti i servizi online utilizzati di cui si ha traccia sul disco.

Fino al rilascio di un’apposita patch da parte Apple è consigliabile modificare il lettore di feed RSS ed utilizzarne uno alternativo a Safari come ad esempio NetNewsWire e NewsFire (entrambi gratuiti).

Massima attenzione quindi, sia per la tipologia di informazioni a rischio sia per la natura potenzialmente trasparente dell’eventuale intrusione. Specialmente gli utenti Mac, fortunatamente non abituati a continue sensibilizzazioni in materia di navigazione sicura, faranno bene a non sottovalutare la vulnerabilità.

In ogni caso, oltre alla modifica manuale all’interno delle impostazioni di Safari, segnalo un’applicazione, RCDefaultApp, utile a modificare le associazioni di default del sistema MacOsX.