maanantai 7. syyskuuta 2015

Firefox vuosi käyttäjätietoja hyökkääjälle, näin hyökkäys toteutui

Firefox vuosi käyttäjätietoja hyökkääjälle, näin hyökkäys toteutuiNoin kuukausi sitten Firefoxista löydettiin kriittinen haavoittuvuus jota hyödyntämällä hyökkääjä pystyi varastamaan käyttöjärjestelmän profiilitietoja. Näin kyseinen hyökkäys sai alkunsa.

Bugzilla on palvelu johon käyttäjät ja sovelluskehittäjät kertovat löytämistään ohjelmavirheistä. Kyseinen järjestelmä omaa myös tietoja jotka on piilotettu suurelta yleisöltä, näissä tietueissa esitellään muun muassa tietoturvaan liittyviä virheitä ja ongelmia ja joita yleensä täyttävät vain kyseisen projektin tai ohjelman koodaajat.

Tietomurtautujat olivat päässeet näihin tietoihin käsiksi ilmeisesti hyödyntäen jonkun tarpeeksi suurilla turvaluokituksilla olevan Bugzilla käyttäjän tunnuksia.

Murtautujat pääsivät käsiksi Firefox selaimen tietoturvaan liittyviin ongelmiin ja opiskelivat niitä kunnes he keksivät keinon jolla voi hyökätä suoraan itse selaimeen ja varastaa sitä kautta tietoja kuten Linux & Windows profiilin sisällön joka pitää sisällään kaikki käyttäjän tiedostot sekä ohjelmien asetukset, myöskin tietoturvaan liittyviä asioita kuten ssh -avaimia ja muita tietoja joiden avulla hyökkääjät voivat naamioitua kyseiseksi käyttäjäksi, tai aiheuttaa ns. man in the middle tyyppisiä hyökkäyksiä.

Hyökkääjät sitten rakensivat perinteisemmät työkalut joilla yhteys selaimen aukkoihin otetaan ja tietoja aletaan siirtämään. Työkalu piti kuitenkin saada ensiksi verkkosivuille ja yksi hyvä vaihtoehto on aina näissä tapauksissa yksittäiset mainosverkostot tai vielä helpommin yksittäinen mainos.

Hyökkääjät saivat ujutettua työkalunsa tai koodinsa muutamiin mainoksiin jotka näkyivät varsinkin Venäjällä ja Venäjänkielisissä verkkosivuissa, sitten vain odoteltiin ja tietoja alkoi ilmeisesti valumaan kunnes Mozilla kerkesi lopulta paikkaamaan aukot ja lähettämään uuden Firefox selainversion automaattisen päivityksen avulla käyttäjille.

Haavoittuneita selaimia on silti edelleen käytössä, joko automaattinen päivitystoiminto on otettu pois tai käyttäjä ei ole vielä sulkenut ja käynnistänyt selainta uudelleen, jota päivityksen voimaantuleminen tässäkin tapauksessa vaatii.

Tietoturva-aukot koskevat seuraavia sovelluksia:

  • Mozilla Firefox versiota 39.0.3 vanhemmat versiot
  • Mozilla Firefox ESR versiota 38.1.1 vanhemmat versiot

Käyttöjärjestelmillä: Windows, Linux, OSX (bsd)

Firefoxin Android versio ei ole haavoittuvainen sillä aukot olivat hyödynnettävissä Firefoxin sisäänrakennetun PDF-lukijan kautta, tätä ominaisuutta ei Android versiosta löydy.

Mozilla otti opiksi:

Mozilla on erittäin pahoillaan kyseisestä tapauksesta ja ilmoittaa että he tulevat vaatimaan sovelluskehittäjiltään jatkossa kaksivaiheista kirjautumista Bugzilla järjestelmään ja laskevat myös ns. tarpeettomien henkilöiden turvallisuustasoa siten ettei hyökkääjillä ole jatkossa enää yhtä helppoa valikoida ja hyödyntää käyttäjätietoja.

LÄHDE: Mozilla