Известный исследователь Йоуко Пюннёнен (Jouko Pynnönen) раскрыл в своем блоге детали опасной уязвимости, которую компания Yahoo исправила на прошлой неделе. Интересно, что почти год назад специалист уже находил практически аналогичный баг в веб-интерфейсе почтового сервиса Yahoo.
Тогда компания выплатила Пюннёнену вознаграждение в размере 10 000 долларов, и этот приз стал одним из самых крупных за всю историю существования bug bounty программы Yahoo. Теперь, спустя чуть меньше года, исследователь заработал на очень похожей уязвимости еще 10 000 долларов.
В блоге специалист объясняет, что обнаруженная им проблема позволяла злоумышленнику отправить жертве письмо со встроенным вредоносным кодом. Данный код исполнялся сразу же, как только жертва читала послание. Не требовалось никаких кликов по ссылкам, или открытия подозрительных файлов.
Равно как и год назад, проблема связана с некорректной работой фильтра Yahoo, который должен проверять корреспонденцию на наличие малвари и вредоносного кода. Более того, Пюннёнен искал второй такой же баг специально, хотя и понимал, что вероятность обнаружить еще одну XSS-уязвимость такого рода, крайне мала. Но исследователю улыбнулась удача,
Эксперт пишет, что на этот раз он изучал различные опции, которые обошел вниманием в прошлый раз, к примеру, функцию «Поделиться файлами с облачного хостинга». Пюннёнен заметил, что в данном случае к письму прикладывается не обычное вложение, но HTML-ссылка на Google Docs или Dropbox. Выглядит это так:
Специалист не мог не обратить внимания на атрибуты data-* HTML, и быстро понял, что в прошлом году ему удалось вычислить далеко не все атрибуты, которые можно протащить сквозь фильтр Yahoo. К тому же атрибуты data-* HTML используются для хранения специфических данных приложений и типичны для JavaScript. Так Пюннёнен обнаружил новый вектор атаки.
Вскоре исследователь разработал тестовый кейс следующего вида:
При просмотре такого сообщения в Yahoo Mail, замаскированный JavaScript немедленно выполняется (см. верхнюю иллюстрацию). Пюннёнен отследил проблему до одной из функций почтового сервиса: t.shareMenu.generateButton(r.cardUrl,s), которую эксперт приводит в блоге в слегка обфусцированном виде:
В итоге Пюннёнен создал proof-of-concept, который отправил специалистам Yahoo, вместе с информацией о проблеме. PoC исследователя использует AJAX, и как только жертва открывает вредоносное письмо, эксплоит считывает все содержимое папки «Входящие» и отправляет его на сервер атакующего. Кроме того, новая брешь позволяет оснастить письмо саморазмножающимся червем, который будет внедряться в подпись каждого исходящего письма жертвы, заражая все новые и новые ящики.
12 ноября 2016 года Пюннёнен передал свои изыскания сотрудникам Yahoo через официальную программу bug bounty на HackerOne. Уязвимость была устранена 29 ноября 2016 года, а исследователю вновь заплатили 10 000 долларов. Пюннёнен пишет, что хотя уязвимость легко эксплуатировать, найти ее оказалось не так уж просто. «Не сказал бы, что это примитивный баг, подобное вряд ли можно обнаружить, используя автоматические инструменты и сканеры», — говорит эксперт.
В России могут серьёзно усложнить жизнь не только VPN-сервисам, но и тем, кто даёт им инфраструктуру. Ко второму чтению законопроекта «Антифрод 2.0» подготовлены поправки, которые затрагивают хостинг-провайдеров.
Как выяснил «Коммерсант», компаниям могут запретить предоставлять серверы и вычислительные мощности тем, кто обеспечивает доступ к запрещённой информации. Под это определение потенциально подпадают и владельцы VPN-сервисов.
Если поправки примут, хостинг-провайдеры фактически перестанут быть просто «техническими посредниками». Им придётся самим проверять клиентов — сверять их с различными списками и отказывать в обслуживании тем, кто может нарушать требования.
И вот тут начинаются сложности. У многих компаний сейчас просто нет готовых инструментов и процессов, чтобы эффективно определять таких клиентов. А значит, переход на новую модель работы потребует дополнительных затрат — и времени, и денег.
На рынке уже предупреждают: всё это, скорее всего, скажется на ценах. Хостинг и так подорожал за последнее время более чем на 30% — из-за роста НДС и внедрения систем СОРМ. А новые требования могут добавить ещё один виток расходов.
Гендиректор хостинг-провайдера RUVDS Никита Цаплин считает, что интеграция с базами Роскомнадзора и необходимость отказывать части клиентов почти неизбежно приведут к дальнейшему росту стоимости услуг.
Напомним, сегодня пользователи начали замечать, что мобильное приложение «Госуслуг» больше не открывается при включённом VPN. Проблемы, по сообщениям пользователей, затронули и другие сервисы — например, «Яндекс Пэй».
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
