Новые атаки используют старые проблемы с браузерными cookie-файлами

29.09.2015 | 12:27
CERT (Cyber Emergency Response Team, группа экстренного реагирования на кибератаки), поддерживаемая DHS (Department of Homeland Security, министерство внутренней безопасности) и функционирующая на базе института разработки программного обеспечения Университета Карнеги — Меллон, на этой неделе выпустила оповещение, в котором предупреждает пользователей о продолжающемся господстве целого класса уязвимостей cookie-файлов, которые подвергают риску персональные и даже финансовые данные пользователей.

Оповещение было вдохновлено отчетом об исследовании «Cookies Lack Integrity: Real-World Implications«, представленным в прошлом месяце на конференции USENIX и написанным Сяофэн Чжэном (Xiaofeng Zheng), Цзянь Цзяном (Jian Jiang), Цзинцзинь Ляном (Jinjin Liang), Хайсинь Дуанем (Haixin Duan), Шо Чэнем (Shuo Chen), Тао Ванем (Tao Wan) и Николасом Вивером (Nicholas Weaver) из китайского Университета Цинхуа, Международного института информатики, Microsoft, Huawei Canada и Университета Беркли.

Авторы документа углубились в атаку внедрением cookie-файла, которая может быть проведена даже в защищенных HTTPS-соединениях. Они описывают уязвимости и слабые места реализации спецификации cookie-файлов RFC 6265.

Атака, описанная на USENIX, требует нахождения в сети на позиции «человека посередине», что дает возможность внедрять в HTTP-сеанс cookie-файлы, которые также будут передаваться по HTTPS-соединениям. Исследователи заявили, что эти уязвимости присутствуют в ряде высоконагруженных сайтов (по именам они назвали Google и Bank of America), и добавили, что последствия могут включать утечку персональных данных, угоны учетных записей, а также финансовые потери.

«Допустим, вы находитесь в сети, которую злоумышленник может контролировать (такой как Starbucks или открытый Wi-Fi). Злоумышленник временно перехватывает управление вашим браузером, чтобы вставить cookie-файл для целевого сайта, — рассказал Вивер сайту Threatpost. — Далее, немного позже, когда вы посещаете сайт (в другой сети, в других обстоятельствах), ваш браузер передает сайту поддельный cookie, и сайт обрабатывает этот cookie. Например, он может просто следить за пользователем, или это может быть полная XSS-атака, заданная в самом cookie-файле».

В документе исследователи отмечают, что доменная изоляция cookie недостаточна и что разные, но связанные домены могут иметь общий набор cookie. Выдержка из отчета:

«Cookie может иметь флаг «secure», обозначающий, что cookie должен передаваться только по HTTPS, что усиливает его конфиденциальность во время атаки «человек посередине». Тем не менее нет подобной защиты целостности от того же противника: HTTP-запросу позволено устанавливать защищенное cookie для своего домена. Злоумышленник на связанном домене может разрушить целостность cookie, используя общий cookie».

Даже политика одного источника, которая должна разграничивать содержимое разных доменов, не является эффективной защитой от таких атак, так как злоумышленник может вынудить браузер жертвы посетить вредоносный сайт.

«Так как RFC 6265 не определяет механизм для обеспечения изоляции и гарантирования целостности, не все веб-браузеры аутентифицируют домен, устанавливающий cookie-файл, — говорится в оповещении CERT. — Злоумышленник может использовать это для установки cookie-файла, который впоследствии будет использован через HTTPS-соединение вместо cookie, установленного на настоящем сайте».

Исследователи предложили ряд возможных защитных мер, главные из которых — внедрение HSTS (HTTP Strict Transport Security) и изменения, которые должны произвести производители браузера. Документ также описывает пример браузерного расширения, которое лучше изолирует cookie-файлы между HTTP- и HTTPS-доменами.

«HSTS не позволяет вашему браузеру принимать cookie злоумышленника для всех сайтов, поддерживающих HSTS, которые вы уже посетили, так как они идут не по HTTPS, а по HTTP, — сказал Вивер. — Таким образом, любой сайт, установивший HSTS для своего базового домена и всех поддоменов, является иммунным».

«[Браузеры] должны поменять способ обработки cookie-файлов, так как это всегда область вероятных рисков из-за возможности того, что более жесткая политика защиты cookie может сломать имеющиеся веб-сайты», — добавил Вивер.
браузер, cookie-файл
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код