Atak na użytkowników TorBrowsera – używany błąd 0day w TorBrowserze / Firefoksie

dodał 30 listopada 2016 o 09:49 w kategorii Błędy, Wpadki  z tagami:
Atak na użytkowników TorBrowsera – używany błąd 0day w TorBrowserze / Firefoksie

Wczoraj wieczorem ujawniono istnienie błędu w TorBrowserze, który wykorzystywany jest w trwających atakach na użytkowników. Błąd istnieje także w aktualnym Firefoksie a Mozilla pracuje nad jego usunięciem.

Przeglądanie sieci za pomocą TorBrowsera i sieci Tor nie zawsze jest bezpieczne. Co kilkanaście miesięcy pojawiają się informacje o kolejnym ataku pomagającym w deanonimizacji użytkowników. Na szczęście ofiarami tego typu ataków najczęściej padają przestępcy.

Ujawnienie ataku

Wczoraj wieczorem na liście dyskusyjnej tor-talk pojawił się interesujący wpis pod tytułem Javascript exploit. Anonimowy autor opublikował w nim kod złośliwego ataku, na który – jak twierdzi – trafił w sieci. Wstępne analizy wykazują, że exploit jest prawdziwy. Co wiemy o nim do tej pory? Dan Guido przedstawił dobre podsumowanie.

Odkryty kod exploita atakuje wyłącznie TorBrowsera (w oparciu o nazwę przeglądarki podawaną w żądaniu) lecz działa na najnowszej wersji Firefoksa (wg niektórych analiz od wersji 41 do 50). Wczoraj o problemie została powiadomiona Mozilla, która potwierdziła istnienie błędu i pracuje nad jego usunięciem.

Podatność istnieje w Firefoksie zarówno na Windowsie jak i OS X, jednak ujawniony kod exploita atakuje wyłącznie systemy Windows. Użytkownicy Linuksów mogą spać spokojnie – chyba że istnieje inna wersja exploita, która nie została jeszcze złapana. Sama podatność to podobno dość prymitywny błąd typu use-after-free w przetwarzaniu plików SVG.

Użyty w exploicie shellcode jest bardzo podobny do tego, który był zastosowany w ataku z roku 2013 na użytkowników Freedom Hosting (tak, Avast nie lubi tego linka). Czy to oznacza, że ten atak także przeprowadza FBI? Przeciwko tej teorii przemawia fakt, że adres IP 5.39.27.226 należy do OVH, a amerykański sędzia mógłby nie chcieć autoryzować ataku w którym informacje trafiają na zagraniczny serwer. W przypadku z roku 2013 exploit łączył się do serwera w USA.

torbrowser

Co dalej

Jeśli korzystaliście z TorBrowsera z włączonym JavaScriptem do odwiedzania stron, którymi mogły interesować się służby wywiadowcze, a TorBrowser działał w systemie operacyjnym który znał Wasz prawdziwy adres IP, to istnieje prawdopodobieństwo, że ktoś mógł wykonać kod na Waszym komputerze i ustalić dane Waszego połączenia internetowego. Jeśli po prostu korzystacie z Firefoksa, to możecie poczekać na aktualizację lub od razu przesiąść się na inną przeglądarkę. Zapewne za kilka miesięcy dowiemy się, kto i kogo tym atakiem próbował złapać i co z tego wyszło.