Une nouvelle façon de tromper les gens avec leurs mots de passe nous a amenés à nous demander s’il est nécessaire de repenser la confiance que nous accordons à nos navigateurs Web pour nous protéger et d’accélérer les efforts pour combler les failles de sécurité Web.
Plus tôt cette semaine, un chercheur infosec connu sous le nom de mr.d0x a décrit un navigateur dans le navigateur (BitB) attaque. C’est un moyen de voler les identifiants de connexion en simulant les petites fenêtres de navigateur que Google, Microsoft et d’autres fournisseurs de services d’authentification ouvrent et vous demandent votre nom d’utilisateur et votre mot de passe pour continuer. Vous avez probablement vu ces fenêtres : vous cliquez sur quelque chose comme un bouton “Se connecter avec Microsoft” sur un site Web, et une fenêtre contextuelle apparaît vous demandant vos informations d’identification pour accéder à votre compte ou à votre profil.
Des services tels que Google Sign-In afficheront une URL Google dans la barre de navigation de la fenêtre contextuelle, ce qui offre une certaine assurance que le service de connexion provient réellement d’une entreprise de confiance et non d’une entreprise inconnue. Et contourner les défenses intégrées au navigateur de l’utilisateur pour l’inciter à faire confiance à une page malveillante a tendance à être difficile en l’absence d’une vulnérabilité exploitable, grâce aux mécanismes de sécurité du navigateur, notamment Politique de sécurité du contenu paramètres et les Politique de même origine modèle de sécurité.
<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" alt="" /><br /> </a><br />Cependant, il existe des méthodes telles que le détournement de clics ou la correction de l’interface utilisateur qui modifient l’apparence des navigateurs et des pages Web pour duper les gens de manière à contourner les contrôles de sécurité. Une attaque de détournement de clic pourrait, par exemple, interposer un élément transparent sur un bouton de page Web afin que l’événement de clic d’un utilisateur soit détourné à des fins néfastes.
<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br /> <br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />L’attaque BitB étend cette technique en créant une fenêtre de navigateur entièrement fabriquée, incluant des signaux de confiance comme une icône de cadenas verrouillé et une URL connue (mais falsifiée). Vous pensez voir une vraie fenêtre contextuelle, mais elle est en fait juste truquée dans la page et prête à capturer vos informations d’identification.
Répliquer l’intégralité de la conception de la fenêtre à l’aide de HTML/CSS de base est assez simple
“Heureusement pour nous, répliquer l’intégralité de la conception de la fenêtre à l’aide de HTML/CSS de base est assez simple”, explique mr.d0x. “Combinez la conception de la fenêtre avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et c’est fondamentalement impossible à distinguer.”
Cette technique, dit mr.d0x, rend le phishing plus efficace. Les victimes auraient toujours besoin de visiter un site Web compromis ou malveillant pour générer la fenêtre contextuelle, mais par la suite, elles seront plus susceptibles de soumettre des informations d’identification car rien ne semble anormal.
Il y a des limites à cette approche car si elle peut tromper les gens, il est peu probable qu’elle trompe d’autres logiciels. Les gestionnaires de mots de passe, par exemple, ne rempliraient probablement pas automatiquement les informations d’identification dans une fenêtre BitB car ils ne la verraient pas comme une véritable fenêtre de navigateur.
<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />Néanmoins, BitB a soulevé des inquiétudes chez certains chercheurs en sécurité comme moyen d’exploiter l’insécurité de l’écosystème publicitaire. Pointant vers recherche publié l’année dernière par Adalytics indiquant que 70 % des principaux sites Web d’éditeurs ne parviennent pas à mettre en bac à sable le iframes utilisé pour diffuser des annonces, chercheur sur la fraude publicitaire Augustin Fou Raconté Le registre qu’il craint que BitB ne soit utilisé par ceux qui diffusent des publicités malveillantes ou malveillantes.
“Un code malveillant peut entrer via l’annonce dans l’iframe, mais comme l’iframe n’est pas sécurisé, il peut être injecté dans la page parent”, a-t-il expliqué. C’est-à-dire qu’une mauvaise publicité pourrait faire apparaître une fenêtre contextuelle BitB sur la page, demandant le nom d’utilisateur et le mot de passe de quelqu’un à récolter.
Le chercheur et fondateur d’Adalytics, Krzysztof Franaszek, a déclaré Le registre c’est un vecteur d’attaque plausible. Lorsqu’on lui a demandé comment cela pourrait être fait, il a répondu : “La réponse simple est la suivante : vous créeriez une création publicitaire dotée d’une charge utile JS. Lorsque l’annonce se charge sur l’appareil d’un utilisateur final et détecte que l’iframe qu’elle charge à l’intérieur n’est pas en bac à sable , cela déclencherait une fenêtre contextuelle qui ressemble à une page de connexion.”
<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/front&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33YjUmDM79uTIu3S9LIUNEMgAAAFU&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />“La réponse la plus complexe/approfondie est que les réseaux publicitaires/échanges comme Google analysent et filtrent les créations, et il existe d’autres entreprises qui essaient également de surveiller ces créations pour détecter les codes malveillants”, a-t-il ajouté.
Eliya Stein, chercheuse chez Ad Security biz Confiant, a déclaré Le registre que si les données de son entreprise indiquent qu’environ la moitié de tous les iframes ne sont pas en bac à sable et qu’un cadre convivial – non d’origine croisée – poussant du JavaScript malveillant est une attaque hypothétique plausible, ce n’est pas celui qui s’intègre bien dans le modèle économique de la publicité malveillante.
“Même si ce type d’attaque est possible, je ne pense pas que ce soit nécessairement la voie la plus lucrative pour le malvertising”, a expliqué Stein. “Les attaques de publicités malveillantes doivent en quelque sorte avoir un impact élevé et faire appel au plus petit dénominateur commun. Et je pense que c’est la raison pour laquelle les attaques de publicités malveillantes les plus perturbatrices et les plus percutantes que nous ayons généralement vues sont les redirections forcées – une fenêtre contextuelle en plein écran ou une redirection forcée en plein écran – et ces choses sont généralement immédiatement monétisables.”
Un faux modal de connexion, a-t-il dit, ne va pas immédiatement générer de l’argent. Une fois que vous obtenez les informations d’identification de quelqu’un, vous devez alors disposer d’un processus pour vendre ces informations d’identification ou les utiliser pour obtenir des données, plutôt que d’être payé par des agences de publicité dupées.
Nous avons vu beaucoup d’attaques de phishing sur de faux sites de crypto qui génèrent ce modal en utilisant CSS
Stein, cependant, a suggéré que BitB est similaire aux façons dont les attaquants ont tenté d’accéder à des portefeuilles de crypto-monnaie comme MetaMask. “Nous avons vu beaucoup d’attaques de phishing sur de faux sites de cryptographie qui engendrent ce modal en utilisant CSS”, a-t-il déclaré. “Donc, ce n’est pas le vrai MetaMask mais il y ressemble beaucoup et il essaie de vous faire interagir d’une manière ou d’une autre, pour entrer votre phrase de départ ou effectuer une sorte de transaction.”
Le défi de monétiser BitB peut le rendre sous-optimal pour frauder les annonceurs, mais il a néanmoins des implications en matière de sécurité étant donné que l’agence américaine de cybersécurité et de sécurité des infrastructures considère le code malveillant diffusé via les systèmes publicitaires comme une menace pour les réseaux américains. [PDF].
Alors que Stein a déclaré que les plates-formes côté offre (SSP) qui diffusent des publicités disposent de systèmes de sécurité qui analysent les codes malveillants et qu’il existe d’autres facteurs atténuants liés à la façon dont les éditeurs configurent leurs sites Web, Fou et Franaszek ont indiqué que la sécurité de l’écosystème publicitaire fait souvent défaut et il y a sont des moyens de créer du code malveillant pour se cacher des scanners.
“Vous configurez le JavaScript pour qu’il ne déclenche son comportement réel que dans 45 ou 60 jours”, a expliqué Franaszek, “ou lorsque l’annonce se charge à partir d’une adresse IP spécifique”.
Fou a déclaré que les SSP faibles ouvrent la voie. “C’est la faille”, a-t-il déclaré, “qui permet aux publicités malveillantes d’entrer dans le système. Le code malveillant ne s’active que lorsqu’il détecte un mouvement, un changement d’orientation, un toucher ou une adresse IP. … il est donc extrêmement difficile pour les scanners de voir cela dans la nature.” ®
— to www.theregister.com