Темний дім

22:48 06.11.2009

Після статті Темна сторона закладок, зверну вашу увагу на ще один аспект безпеки пов’язаний з веб браузерами.

В браузерах існує такий корисний функціонал як домашня сторінка (homepage). На яку браузер переходить при його запуску (при його відповідному налаштуванні). На перший погляд даний функціонал не передвіщує жодних проблем з безпекою для користувачів браузерів, але це не так. Існує ряд атак, які можуть проводитися через функцію домашньої сторінки. Про це я запланував розповісти ще в 2008 році і розповім вам про це в своїй статті “Темний дім” (Dark home).

Зазначу, що якщо в своїй практиці я декілька разів зустрічав атаки через закладки, то атаки через функцію домашньої сторінки я зустрічав багато разів. Зокрема існують програми, які при встановленні на комп’ютер (в тому числі приховано), змінюють налаштування домашньої сторінки в IE.

Атаки через функцію домашньої сторінки.

Можливі наступні атаки через функцію домашньої сторінки:

1. Спам.
2. Фішинг.
3. Поширення шкідливого коду.
4. DoS атаки.

Даний функціонал браузерів створює умови для проведення постійних (persistent) атак, тому що задана домашня сторінка зберігається в налаштуваннях браузерів на комп’ютерах користувачів. Тому кожна з вищезгаданих атак є постійною атакою, яка може спрацювати при черговому запуску браузера, або коли користувач натисне кнопку Home в своєму браузері. Тобто вірогідність спрацювання даної атаки набагато більша, ніж при атаці через закладки.

Методи проведення атак.

Для встановлення шкідливих хоумпейджів можуть застосовуватися наступні методи:

1. Соціальна інженерія: надписи “Зробіть своєю домашньою сторінкою” на сайтах підконтрольних зловмисникам (де розміщений код для редирекції чи інший код, що спрацює при наступному відвідуванні сайта).
2. Взлом сайтів і зміна кодів у лінках “Зробити своєю домашньою сторінкою” на коди з шкідливою лінкою, або встановлення подібних лінок на сайтах підконтрольних зловмисникам.
3. Використання вірусів для зміни існуючих налаштувань домашньої сторінки на шкідливу лінку у браузері жертви.
4. Використання атак з активною (зацикленою) пропозицією додати в якості Homepage (в Internet Explorer), щоб жертва випадково зробила даний сайт своєю домашньою сторінкою (або змусити її це зробити).

Атаки в різних браузерах.

Серед вищенаведених методів атак в Internet Explorer працюють всі чотири, а в інших браузерах лише атаки 1 і 3. Тому при атаці на користувачів всіх браузерів, і особливо альтернативних, можна використати методи соціальної інженерії, або віруси. При використанні вірусів, під час зміни налаштувань домашньої сторінки в браузері, потрібно також перевірити чи не налаштований браузер таким чином, щоб запускатися з пустою сторінкою, і якщо він налаштований саме так, то змінити цю опцію, щоб браузер запускався з домашньою сторінкою.

При атаці на користувачів Internet Explorer, можна використати атаки 2 і 4. Для цього потрібно використати код встановлення в якості Homepage (що працює лише в IE).

<a href="#" onClick="this.style.behavior='url(#default#homepage)';this.setHomePage('http://badsite')">Зроби своєю домашньою сторінкою!</a>

Спам.

В якості домашньої сторінки може бути вказаний рекламний сайт. Тобто функція домашніх сторінок може використовуватися для поширення спаму. І окрім реклами сайта таким чином, це також може використовуватися для накручування статистики даного сайта (в різних рейтингах).

Фішинг.

Так само як і у випадку спаму, функція домашніх сторінок може використовуватися для фішингу. Але в цьому випадку, окрім проведення атаки через методи 1, 2 і 4, особливо ефективними буде метод 3. Щоб вірус виявив (в історії, закладках чи налаштуванні домашньої сторінки), яким банком користується жертва, і встановив в якості домашньої сторінки фішинг сайт даного банку. Щоб жертва запустила браузер і одразу перейшла на фішерський сайт, який видає себе за сайт саме її банку.

Поширення шкідливого коду.

Атака буде відбуватися через встановлення в якості домашньої сторінки лінки на експлоіт для браузера. Що виконає шкідливий код в браузері користувача, після запуску браузера, і встановить вірус на його комп’ютер.

DoS атаки.

Атака буде відбуватися через встановлення в якості домашньої сторінки лінки на DoS експлоіт. Після запуску браузера користувачем, його браузер вилетить або зависне. Причому це буде постійна атака, яка буде повторюватися при кожному запуску браузера, що користувач взагалі не зможе ним користуватися, доки не змінить дану опцію.

Також механізм встановлення в якості домашньої сторінки сам може бути використаний для проведення DoS атаки на браузери. Дану атаку я назвав DoS через хоумпейдж. До неї уразливі Internet Explorer 6, Internet Explorer 7 та попередні версії (та потенційно й наступні версії).

Висновки.

Атаки через функцію домашньої сторінки є цілком реальними і небезпечними. Тому користувачам браузерів потрібно бути уважними в Інтернеті і не додавати будь-який сайт в якості домашньої сторінки. І бажано налаштувати свій браузер таким чином, щоб при запуску відкривалася на домашня, а пуста сторінка.


3 відповідей на “Темний дім”

  1. MustLive каже:

    You can read this article on English: Dark home.

  2. vmysla каже:

    this.setHomePage - прикольно. никогда не видел ;)

  3. MustLive каже:

    vmysla

    Это IE-шный метод ;) . Как метод установки домашней страницы в браузере, так и метод атаки через homepage.

Leave a Reply

You must be logged in to post a comment.