歐洲黑帽大會:漏洞三篇
責編:admin |2014-10-20 15:07:15編者按:
今天雖然是周六,但也是歐洲黑帽大會馬上就要結束的日子(阿姆斯特丹當地時間14日-17日),安全牛君經過觀察,率先給大家總結出這次大會上的3個神級漏洞。其實,與其說是漏洞不如說是攻擊的思維模式,那叫一個牛!
先來個開胃菜:--SOME攻擊
安全人員Ben Hayak在大會上演示了這種稱之為SOME(相同來源方法執行)的攻擊方法,并成功的搞定Google+上的用戶。
這種方法的利用原理與最近的名人裸照泄露事件類似。受害者用手機拍照,然后照片通過Google的“自動備份”功能自動上傳到Google+的服務器中。而黑客只需讓受害者點擊一個鏈接,就可把用戶所有的照片和視頻發送到自己控制的服務器上。
這個漏洞與Java腳本對象注釋與填充(JSONP)的執行有關,可以允許攻擊者以用戶的身份執行動作。如果利用惡意廣告作為載體,該攻擊甚至無需用戶介入即可發生。
SOP(相 同來源策略)是一種安全機制,用來防止不相關的網站相互影響。然而,有時為了與第三方服務通信,網站需要屏蔽SOP。比如,網站需要識別訪問的地理位置 時,需要使用網絡地理服務。網站開發者可能會使用JSONP這種通信技術從不同的域名服務器上請求數據,因為用戶的瀏覽器并不會強制執行SOP 的<script>標簽。
JSONP 使用一個回調函數從第三方服務獲取數據,黑客通過構造這個調用函數的參數,就能夠任意執行網站允許的用戶操作。當受害者點擊惡意鏈接時,會打開一個執行操 作的新窗口。但這一切發生的非常迅速,在受害者還沒有感覺到異樣時窗口就關閉了。為了避免引起用戶的懷疑,黑客在攻擊完成后還可以打開一個合法的網站進行 掩飾。
Hayakg表示,攻擊者可以執行所有必要的操作。以Google+為例,攻擊分為兩步。一選擇受害者賬戶中的照片,二發送給攻擊者。
令人擔憂的是,如果某個域名的網站有漏洞,那么這個域名下所有的頁面都會受這個漏洞的影響。
除了Google+以外,還有一些其他的超大型網站受此漏洞影響。研究SOME攻擊的安全人員準備在11月份發布一個細節報告,其中會列出這些網站的名字,這些名字中甚至有一些金融機構的網站。
該漏洞約在四個月前就提交給了谷歌,幾天前谷歌為其打上了補丁。為了獎勵漏洞發現者Hayak,谷歌拿出了3133.7美元資金。(安全牛君略感疑惑,有零有整?)
三種防范SOME攻擊的方法
1. 回調函數使用靜態函數命名,限制該函數的調用范圍。
2. 谷歌的解決方法是,把回調函數加入服務器端的白名單。
3. Hayak建議,注冊回調函數。
開胃菜吃完,正餐來了:--無比霸道的REF
地球人都知道,大多數網頁攻擊都需要用戶訪問的服務器端存有惡意軟件,以下載到受害者的機器上,如掛馬攻擊。但下面要介紹的這種霸道的攻擊方法無需把惡意軟件上傳到任何地方。
安全人員Oren Hafif發現的這種新型網頁攻擊方法,他稱之為REF(反射文件下載)。
RFD 并不復雜,一些入行不深的黑客都可以利用。其原理為,利用沒有正確處理用戶輸入且未能正確返回內容類型的網頁應用程序,比如瀏覽器,以及基于網頁的 API(應用程序接口)發動攻擊。攻擊者只需找到接受用戶控制輸入的某個API,然后把它反射給API的響應中去。之所以稱為“反射文件下載”是因為惡意 軟件根本就沒有傳到用戶訪問的目標網站,網站只是反射了它。
與RFD類似的網頁攻擊是XSS(跨站腳本),都需要受害者點擊一個精心構造的惡意鏈接,但REF則會通過這次點擊把惡意軟件“反射”(下載)到受害者的計算機上。
這種攻擊的最可怕之處在于,黑客可以構造諸如google.com或bing.com這種看上去可信的鏈接實施攻擊。Hafif表示,他已經發現了至少20家大型網站存在RFD漏洞。
當用戶點擊惡意鏈接時,網頁瀏覽器會發送一個訪問請求給存在漏洞的網站,網站則返回一個響應,這個響應會在用戶的計算機上存成一個文件。攻擊者可以在構造的惡意鏈接中設置這個惡意文件的名字。
攻擊者可以把惡意鏈接構造成看起來像某種流行程序的更新,以騙取用戶的點擊。如“www.google.com/s;/ChromeSetup.bat;” 這樣的鏈接,由于是開頭是合法的谷歌域名,欺騙性非常之大。這種攻擊方法,無異于把惡意程序真正的傳到網站上,省卻了黑客的一個大麻煩。
目前的vista或windows7等操作系統,會在用戶執行一個未知發布方的程序時彈出安全警告。然而,這個安全警告可以被某種方法繞過,因此當用戶執行下載到本機的惡意程序時并不會收到警告。(這個方法就是改造文件名,你懂得。)
當惡意程序安裝到系統中之后,就能以系統權限的級別執行各種任務。例如,執行操作系統命令以安裝其他惡意軟件,盜取用戶瀏覽器會話中的數據,或是完全控制用戶的計算機。
為了證明這種攻擊的嚴重性,研究人員開發了一種可在Facebook、Google+、推特和LinkedIn等社交網站傳播的蠕蟲。該蠕蟲進入用戶的瀏覽 器后,借助命令標志的幫助控制瀏覽器,然后假冒用戶行為訪問任何站點,并通過用戶的電子郵件賬戶和社交賬戶傳播惡意鏈接。
早在今年3月份漏洞信息就提交給了谷歌和Bing,后者當天就解決了問題。但谷歌花了差不多3個月才修補了它的大多數網站。
Hafif表示這種攻擊方法與攻擊JSON或JSONP的技術不可同日而語,后者的漏洞利用技術過于脆弱,但存在后者漏洞的網站及易被RFD攻擊。同時他還表示,尚未發現利用RFD漏洞的攻擊行為,但這很可能意味著RFD正在被黑客悄悄地利用。
腫么樣?這個攻擊方法夠不夠威猛??
不過最后一個更加無法無天:--搞定物理隔離設備!
把 計算機與互聯網隔開,稱之為物理隔離,被認為是保護關鍵系統和敏感數據網絡遠離攻擊的終極方法。但知名密碼研究專家Adi Shamir(RSA加密系統的聯合發明人)和兩名以色列大學的研究人員,最近找到了控制物理隔離系統上惡意程序運行的方法。把計算機與互聯網隔開以防止 網絡攻擊的方法,從此不再萬無一失。
理論上,即使攻擊者把惡意軟件通過USB移動存儲設備安裝到物理隔離的計算機上,他也很難有機會操作計算機上的惡意程序或盜取上面的數據。
但Shamir通過研究發現,如果這臺物理隔離的計算機連接到一臺多功能打印機上,攻擊者就可以通過可見光或紅外線,發送命令給計算機上的惡意程序。具體原理如下:
在復印機的蓋子呈打開狀態時,如果有光源重復地對著掃描儀蓋子里面的白色涂層閃爍,掃描出來的圖片會在黑色背景處出現一系列的白線。這些白線與光源的閃爍頻率或稱脈沖所對應,其密集程度則取決于脈沖間隔。
通過這一原理,研究人員開發了能夠以不同時間間隔發射光脈沖的摩斯碼,并可讀出白線顯示的二進制碼(即0和1)消息。物理隔離設備上的惡意軟件可以設置成某個時間運行,比如在晚上,以執行遠處黑客發過來的命令。
Shamir估計一次掃描能夠發送幾百個字節的數據,已經足夠發送短小的命令激活內置到惡意軟件中的各種功能。
研究人員已經成功的測試了從距離200米、900米和1200米處發動的攻擊,攻擊對象是位于以色列比爾謝巴市一棟大樓里的計算機和打印機。這座大樓還是EMC、甲骨文和其他大企業的研究中心。測試人員使用激光束通過辦公室的窗戶,照射到打印機的蓋子上。
使用更強的激光束甚至可以從5公里外發送命令,而攻擊者可能更偏愛使用紅外線,因為紅外線是不可見光,但研究人員只是從較短的距離進行了測試因為高強高的紅外線激光束對人的視力有害。
除了等待惡意軟件的運行以開始一次掃描以外,攻擊者還可以在辦公室人員掃描文件把打印機的蓋子打開時發動攻擊。在這種情況下,白線會出現在復印件的邊緣。
研究人員也找到了把數據傳回給攻擊者的方法,使用掃描儀本身產生的光。因為惡程序能夠開始和取消掃描操作,攻擊者可以從掃描儀發光的時間和蓋子的反射得到信息。這種方法不如接收命令時有效率,但每次至少能收到少量的數據。因此可以重復操作,以最終得到關鍵信息,比如密鑰。
從遠處檢測掃描儀發出的光需要非常敏感的設備,如果計算機處于高層辦公室,攻擊者就很難找到合適的位置發動攻擊,Shamir表示,可以使用無人機搞定。
該攻擊手法與所謂的邊信道攻擊類似,后者通過分析計算機系統電源的消耗、電磁泄露甚至是加密時的聲音,來得到密鑰。(關注“信息安全知識”,回復“邊信道”可閱讀《用手觸碰電腦即可破解密碼》)