Перейти к содержанию
Researcher

Если вы думаете, что ваши браузеры безопасны, то вы глубоко заблуждаетесь :)

Recommended Posts

Researcher

Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

URLFS_Leaktest_v2.0.zip

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Вот хеши архива, на всякий случай:

URLFS_Leaktest_v2.0.zip

MD5: 831959E37363963A8CF554F54D080E67

SHA-1: CD378B32D2DC7AEFDD16727F8F668708C123262C

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

слишком неактуальная пока угроза имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
слишком неактуальная пока угроза имхо

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Вы пользуетесь оффлайновой справкой, хотя бы от одного приложения? Или открывали хотя бы раз локальный html-файл от какой-нибудь программы?

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Интересный вариант, который может бысть использован в том числе и для утечки данных в обход фаервола.

Точно, Сергей. Ни один HIPS не сможет от этого защитить. Это проблема браузеров скорее. И ни один из 4-х браузеров, ни с какими-либо дополнениями от версии URLFS-Leaktest_v2.0, поскольку Javascript вообще не используется.

Можно круче сделать, сгенерировать локальный html и инициировать его открытие сразу же по описанному сценарию. При этом замаскировать это можно под что угодно, окно ожидание Windows или там прогресс бар какой-то. HTML позволяет визуально что угодно навернуть, была бы фантазия.

Можно, конечно. Я так и сделал, можете в меню вызвать пункт "Вызов Справки". Но со скрытным запуском браузера сложнее, поскольку Проактивная защита выдаёт предупреждение всё же о том что неизвестное/известное приложение пытается запустить браузер. Но, конечно же, если пользователь привык к таким запросам, и кстати сказать они не редкость, то он без опасений разрешит такой запрос.

Отредактировал Researcher

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Вот и зря. Думаю, они одни из первых, кто бы отреагировали на эту уязвимость.

Ну может и напишу сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher

Есть приятная новость для тех у кого стоит TOR-button. Вот этот флажок делает то, что не могут до сих пор сделать разработчики из Mozilla Foundation:

tor_but_protect.png

post-16756-1326994367_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
goover
... ни с какими-либо дополнениями ...

Если пользуетесь Firefox можете попробовать дополнение, набросал тут по-быстрому:

enable.jpg disable.jpg

Убрать .txt в конце:

ROFLKiller.xpi.txt

post-5047-1327079636_thumb.jpg

post-5047-1327079644_thumb.jpg

ROFLKiller.xpi.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Leonid
Если вы думаете, что я веду речь о каких-то неизвестных браузерах, то вы также ошибаетесь, я веду речь о четырёх всем известных и наиболее популярных браузерах:

1) Internet Explorer(9.0.8112.16421)

2) Opera(11.60)

3) Mozilla Firefox(9.0.1)

4) Google Chrome(16.0.912.75 m)

Суть проблемы безопасности в том, что ни один из этих браузеров в настоящее время не фильтрует запросы от локальных страниц (загруженных со схемой file://) к Интернету. Сценарий может быть такой:

Вы пользуетесь некоторой программой, она может быть очень известной а может быть малоизвестной, но она полезна для вас и в общем вы ей пользуетесь. При этом вы для надежности выставили ей в вашем фаэрволе правило: блокировать все входящие и исходящие соединения. Т.е. как-бы уверены что в Интернет эта прога никак не пролезет от своего имени :).

Эта программа использует в качестве справки оффлайновый набор html-Файлов. Т.е. когда вам необходимо просмотреть справку, то обычно вы запускаете index.html из директории help. На первый взгляд может показаться, что ничего страшного прозойти не может. Но...

В очередной раз открыв справочку этой программы вы можете получить утечку данных(без вашего согласия) с вашего компьютера на сайт этой программы или ещё куда-нибудь в Интернет. И суть-то реализации абсолютно проста!

Безусловно ряд людей скажет, что вообще не пользуется оффлановыми справками. Ну так и отлично, точно так же ряд людей скажет что никогда не открывает подозрительные вложения в почте :). Но ведь есть же ещё даже и такие! Я это всё к тому говорю, что уязвимость не может быть направлена на ВСЕХ пользователей без исключения, только на определенный процент, это касается абсолютно всех типов уязвимостей в безопасности.

Ведь запрещает же почтовый клиент загрузку изображений по ссылкам, т.е. тех которые не включены в само тело письма! И правильно делает, чтобы не было идентификации о прочтении письма. Почему же разработчики браузеров не реализовывают у себя этот механизм?

Честно говоря для меня это загадка! Общение с разработчиками из Opera Software и Mozilla Foundation расстроило окончательно. Первые считают основной преградой, что это труднореализуемо :), а вторые вообще заменжовали запускать мой тест :). Расхотелось даже писать что-либо подобное Microsoft и Google. Думаю им это тоже будет до фени!

Предложил разработчику Оперы куда более чем простой вариант - сделать это всё опциональным. Т.е. в настройках браузера должна быть группа чекбоксов с тремя опциями:

1) Разрешать всем локальным файлам, открытым по схеме file:// доступ к Интернету(это действует сейчас по умолчанию во всех 4 браузерах)

2) Блокировать всем локальным файлам, открытым по схеме file:// доступ к Интернету

3) Спрашивать, когда локальная веб-страница пытается отправить или получить данные из Интернета и запоминать для этой конкретной страницы выбор пользователя

Ответа пока ни фига никакого не последовало!

Для себя сдедал вывод - не запускать оффлановую html-справку ни от одного из производителей ПО. Буду пользоваться только online-спракой или chm-Файлом, который лично мой HIPS фильтрует как отдельное приложение и передать такому файлу данные в Интернет без моего ведома будет невозможно(пока работает HIPS разумеется :)).

Вообще открывать локальные html-Файлы по схеме file:// буду только свои, поскольку сам занимаюсь веб-разработкой.

URLFS_Leaktest_v2.0.zip

Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Researcher
Скажите, пожалуйста, а почему Вы не добавили к этим браузерам COMODO DRAGON ?

Добавьте :). Думаю ещё и много других можно добавить. Я просто протестировал 4 наиболее популярных браузера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ing122

Честно говоря, не понял, почему производители вроде как должны немедленно кинуться ликвидировать данную проблему. С их точки зрения, и проблемы нет, собственно, никакой.

1) Вы пользуете некую "полезную, но подозрительную" программу (которой вы на всякий пожарный обрубили доступ в сеть).

Следовательно:

2) Пользование программ этого плана предполагает, что вы делаете это на свой страх и риск.

Ну и, тогда:

3) Возможность проникновения в инет из html-оффлайн-хелпа - исключительно проблемы пользователя, юзающего данный рискованный сорт программ, а никак не производителей браузеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дима
исключительно проблемы пользователя, юзающего данный рискованный сорт программ

пользователь ни о каких проблемах не подозревает даже, за него должен подумать кто-то другой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EreTIk

Проблема известна не первый год. Подобный тест включен в matousec'овский набор – OSfwbypass. Если посмотреть старицу автора PoC’а, то можно увидеть что проблема была выявлена в 2005-том году как атака на Zone Alarm.

Суть атаки:

Description: Zone Alarm products with Advance Program Control or OS Firewall Technology enabled, detects and blocks almost all those APIs (like Shell, ShellExecuteEx, SetWindowText, SetDlgItem etc) which are commonly used by malicious programs to send data via http by piggybacking over other trusted programs. However, it is still possible for a malicious program (Trojans or worms etc) to make outbound connections to the evil site by piggybacking over trusted Internet browser using “HTML Modal Dialog” in conjunction with simple “JavaScript”. Here it is assumed that the default browser (IE or Firefox etc) has authorization to access internet.

The PoC discusses how the ZoneAlarm Advance Program Control and Behavior Based Technology can be defeated by using HTML Modal Dialog Box in conjunction with JavaScript. Refer the PoC (Proof of Concept) for more details.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×