Обнаружены уязвимости в сервисе для сокращения ссылок от McAfee

Исследователи компании M86 Security обнаружили уязвимость в системе безопасности нового сервиса для сокращения URL McAfee, которая предоставляет возможность злоумышленникам в обход фильтров распространять фишинговые ссылки.

Всем известно, что подобные сервисы могут быть использованы для распространения и перенаправления пользователей  на сайты, содержащие вредоносное программное обеспечение. В основном, это используется при отправке сообщений в социальных сетях, мессенджерах или по электронной почте.

Теоретически, компания, которая специализируется на разработке антивирусного программного обеспечения, способного  определить наличие вредоносных внедрений на сайте, обязана обеспечить безопасность своего сервиса. И в сентябре. делая упор на безопасность, компания McAfee запустила такой сервис, назвав его mcaf.ee.

Однако, специалисты компании M86 Security решили протестировать новую систему. Они использовали известную пользователям Facebook фишинговую ссылку. Эта ссылка в свое время была заблокирована администрацией соцсети как "нежелательная для посещения", поскольку пользователи, перейдя по этой ссылке, попадали на вредоносные внешние ресурсы. Так вот, в результате эксперимента выяснилось, что сервис mcaf.ee спокойно пропускает эту ссылку при переходе по ней с Facebook.

Но это еще не все. В отличие от сервисов предоставляемых другими компаниями, mcaf.ee открывает целевую страницу во фрейме и пользователи просто не видят адрес той страницы, куда они переходят - он не указывается в адресной строке обозревателя. Конечно, часть ссылки видна на тематическом баннере от McAfee, но основная ее часть закрыта большой зеленой кнопкой, обозначающей результат проверки с сообщением о том, что сайт безопасен.

Отметим, что пока этот сервис находится в стадии бета-тестирования, и будем надеяться, что эта ошибка будет исправлена до выхода конечной версии.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг Chrome, Opera, Edge позволял выкрасть данные миллиарда пользователей

Новая уязвимость в браузерах, основанных на Chromium, позволяет обойти дополнительный уровень безопасности Content Security Policy (CSP). В результате данные посетителей сайтов находятся в зоне риска, поскольку злоумышленники могут выкрасть их, а также выполнить вредоносный код.

Получивший идентификатор CVE-2020-6519 баг затрагивает Chrome, Opera и Edge для операционных систем Windows, macOS и Android. По словам Гала Уэйзмана, исследователя из PerimeterX, в опасности находятся около миллиарда пользователей браузеров.

Что касается конкретно Chrome — самого популярного на сегодняшний день браузера — уязвимость CVE-2020-6519 угрожает версиям Chrome 73-83. К счастью, вышедший в июле Chrome 84 устраняет брешь.

Уровень защиты CSP, который позволяет обойти описанный баг, предназначен для защиты посетителей сайтов от атаки вида XSS и от вредоносных инъекций. Благодаря CSP администраторы ресурсов могут обозначить безобидные домены, с которых браузер будет запускать скрипты.

«Если мы говорим о возможности обхода Content Security Policy (CSP), стоит учитывать, что данные пользователей находятся в зоне риска», — объясняет в отчёте Уэйзман.

Многие крупные онлайн-проекты используют CSP: ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom.

Для успешной атаки злоумышленник должен модифицировать JavaScript. Этого можно добиться через атаку на веб-сервер (например, с помощью брутфорса паролей). Далее атакующий спокойно проведёт инъекцию кода в обход CSP.

Поскольку эксплуатация бага возможна лишь после прохождения аутентификации (взлома паролей), уязвимости присвоили среднюю степень риска. Однако Уэйзман подчёркивает, что такие атаки могут иметь серьёзные последствия.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru