Студент из Норвегии Хеннинг Клевьер провел исследование, в котором он попытался по-новому взглянуть на довольно древнюю уязвимость веб-обозревателей.
Мы предлагаем вам ознакомиться с результатами исследования.
Выяснилось, что в идентификатор ресурсов URI в отличие от общепринятых указателей ресурсов и веб-страниц URL злоумышленники могут подселить целый архив, содержащий вредоносный код.
Клевьер проверил несколько различных обозревателей на устойчивость к этой уязвимости и выяснил, что Opera и Firefox такой код беспрепятственно воспринимают и исполняют.
А Chrome и Internet Explorer не стали исполнять код внутри URI.
Маскировка произвольного кода в бинарном виде в адресной строке известна уже достаточно давно. Еще в самом начале соревнования между браузерами было определено, что в случаях, когда длина адреса превышает 256 символов, некоторые веб-обозреватели воспринимали окончание адреса в качестве кода для исполнения.
И сегодня эта ситуация имеет место быть, но уже на новом уровне. Преступники нашли новый способ атаки, который позволяет им обходиться без создания специальных веб-страниц или веб-сайтов. Они успешно укладывают весь вредоносный код в строку URI, а различные сервисы сокращения вроде TinyURL превращают опасную ссылку в непримечательный короткий адрес.
На правах рекламы напомним, что на сайте mobparts.ru можно найти запчасти для телефонов fly по самым низким ценам и прямо от производителя.
Если традиционные способы фишинговой атаки вынуждали злоумышленника создавать фальшивые веб-сайты, размещать их на каком-либо сервисе и копировать вид банковских, либо каких-нибудь иных страниц, то с новым способом можно в одну ссылку упаковать целую подложную страницу.
Это позволяет преступнику обойти ограничения веб-фильтров и провайдеров, а обозреватели просто открывают ссылку, не загружая какие-либо дополнительные ресурсы.
Во вредоносном коде URI может содержаться целый архив с поддельной интернет-страницей и кодом, позволяющим похитить данные пользователей для входа в их банковские счета или другие важные системы.
Естественно, преступникам придется создать сервис для сбора похищаемых данных на общедоступных ресурсах, но это не является настолько очевидным, чтобы хостинговые ресурсы могли немедленно закрыть за нарушения очередной веб-сайт.
Кстати, раньше атаки с помощью URI были зафиксированы и даже задокументированы в веб-браузерах Internet Explorer 6 и 7 версий. А работа Клевьера только развивает эту тему, перенося ее на современные обозреватели.
В рамках своего эксперимента норвежец создал специальную упакованную страницу размером 26 Кбайт, предназначенную для атаки. И Opera, и Firefox успешно загрузили ее и исполнили.
Internet Explorer включил ограничение по размеру URI, а в Chrome вообще запрещено перенаправление URI.
Отсюда можно сделать вывод, что трюк с указателем URI, в котором содержатся данные для исполнения, можно использовать с целью обхода традиционных систем защиты.
Такие указатели URI могут иметь потенциально опасные Java-апплеты, а в условиях скандала по поводу уязвимостей в Java это приобретает особую важность.