Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Badacze z Kaspersky Lab ostrzegają Linkedin przed potencjalnym zagrożeniem typu spear phishing

Dodany 27 lipca 2015, 08:53 CEST

14 listopada 2014 roku badacze bezpieczeństwa z Kaspersky Lab ostrzegli LinkedIn, największy na świecie portal społecznościowy zorientowany na kontakty zawodowe, o problemie dotyczącym bezpieczeństwa, który może stanowić poważne zagrożenie dla ponad 360 milionów użytkowników tego portalu. Ponieważ LinkedIn skupia tak wielką liczbę osób z kręgów biznesowych, tego rodzaju luka w bezpieczeństwie może umożliwić osobom atakującym skuteczne przeprowadzenie kampanii spear phishing, kradzież danych uwierzytelniających oraz potencjalne przejęcie zdalnej kontroli nad wybranymi ofiarami bez konieczności uciekania się do socjotechniki.    

Linkedin zobowiązał się usunąć zagrożenie, a w międzyczasie wydał poprawkę dla podatnej na ataki platformy.

„Chociaż pewna zawartość HTML powinna zostać ograniczona i opublikowaliśmy poprawkę jak również podziękowania badaczom z Kaspersky Lab, prawdopodobieństwo ataku z wykorzystaniem exploita na popularne współczesne platformy e-mail jest nikłe” – powiedział David Cintz, Senior Technical Program Manager z ekosystemu bezpieczeństwa Linkedin.

Badacze wykryli lukę, gdy zauważyli różnice dotyczące znaku modyfikacji podczas publikowania komentarzy z różnych urządzeń w różnych postach. Drugą rzeczą, która zwróciła uwagę na problem, była usterka w analizatorze back-end platformy, który interpretował CRLF (klawisz “Enter”) na znacznik HTML <br />, dołączając go do postu jako tekst. Oba te problemy nie były ze sobą związane, ale zwróciły uwagę na istotne kwestie.  

Chociaż może się to wydawać drobnostką, taka niewielka usterka przyciąga uwagę osób atakujących. Przyglądając się tym dwóm zachowaniom, badacze byli przekonani, że coś jest nie tak. Wydaje się, że nikt nie zauważył tego. Dopiero wyszkolone oko było w stanie połączyć wszystkie kawałki układanki. 

linkedin_potential_en_1.png

Klawisz ENTER interpretowany jako element <br /> w czystym tekście

Poprzez opublikowanie wielu postów z przeglądarki udało się imitować część zachowania dotyczącego różnic w znaku modyfikacji, nie ustalono jednak, w jaki sposób można obejść silnik anti-Cross-site Scripting (XSS) i przeprowadzić atak.

Dalsze badanie doprowadziło do ważnego odkrycia - powodu, dla którego dane wyjściowe z jednego urządzenia nie zostały zakodowane w ten sam sposób co z innego.

Publikowanie komentarzy ze znacznikami HTML z platformy online generowało %3C jako niepełny znak, podczas gdy te same dane wejściowe z urządzenia mobilnego były kodowane jako &lt;. W wyniku dalszej analizy zidentyfikowano istnienie dwóch różnych platform. Nie znaczyło to jednak, że platforma internetowa była podatna na ataki.

Innym interesującym odkryciem było to, że każdy komentarz do postu był wysyłany za pośrednictwem platformy e-mail do wszystkich użytkowników, którzy uczestniczyli w wątku. Różnice w treści tego e-maila potwierdziły nasze podejrzenia. Poniższe zrzuty ekranu ilustrują te dwa scenariusze:   

linkedin_potential_en_2_auto.png

Komentarz wysłany ze strony internetowej z poprawnym znakiem modyfikacji


linkedin_potential_en_3_auto.png

Komentarz wysłany z aplikacji mobilnej bez znaku modyfikacji

Potwierdziło to istnienie dwóch różnych platform e-mail oraz to, że powiadomienia mobilne mogą pomóc w dostarczaniu funkcji szkodliwej bez walidacji treści dostarczonych przez użytkownika. 

linkedin_potential_en_4.png

Podpisany e-mail zwrócony z Linkedin niezależnie od jego treści

Portale społecznościowe stanowią istotny cel hakerów. Codziennie firmy są atakowane przez nieszkodliwych hakerów (tzw. white hat), którzy próbują przyczynić się do zwiększenia bezpieczeństwa internetu. Co jeśli taką lukę znajdzie haker działający z nieetycznych pobudek (tzw. black hat).  

Patrząc na poniższy schemat, można ocenić, jak tego rodzaju problem dotyczący bezpieczeństwa może znacząco pomóc osobie atakującej rozwiązać problem, jak rozprzestrzeniać szkodliwe oprogramowanie podszywające się pod powiadomienie z legalnej platformy społecznościowej.

linkedin_potential_en_5_auto.png

Generyczny cykl dystrybucji szkodliwego oprogramowania

Autorzy szkodliwego oprogramowania inwestują wiele czasu, aby zrealizować każdy z tych etapów. Każdy krok ma ogromny wpływ na ogólny wynik: rzetelne programowanie, które można dostosować do różnych systemów/urządzeń, pakery, zaciemnianie i szyfrowanie, łącznie rekonesansu z odpowiednią metodą dystrybucji oraz znalezienie odpowiedniej luki zero-day lub exploita w celu zdalnego kontrolowania systemu.   

Aby zaoszczędzić cenny czas, osoby atakujące znajdują sprytne sposoby skontaktowania się z autorami i nabycia tego, co potrzebują, aby zrealizować każdy niezbędny etap, jakby mieli do czynienia z towarami w sklepie. Sfinalizowanie listy zakupów w celu zorganizowania tego rodzaju ataku może być kosztowne. W takiej sytuacji platforma społecznościowa zorientowana na kontakty zawodowe, która daje dostęp do szczegółowych informacji dotyczących milionów specjalistów, w tym ich stanowisk, znajomych, informacji o karierze itd., może okazać się niezwykle cenna. Zaatakowanie użytkownika nie jest trudne, a od wykorzystania takich informacji dzieli jedynie jeden komentarz.     

Wybierz swoją ofiarę

Wstrzyknięcie szkodliwego komentarza do wątku postów użytkownika spowoduje automatycznie wysłanie powiadomienia na jego konto e-mail, niezależnie od dostawcy usług pocztowych czy hierarchii połączenia pomiędzy ofiarą a osobą atakującą.  

Chociaż wydaje się, że serwer aplikacji zmodyfikował niebezpieczne znaki, szkodliwa funkcja  jest modyfikowana jedynie z głównej aplikacji. Szablon e-maila jest wysyłany w takiej postaci, w jakiej jest.

linkedin_potential_en_6_auto.png

Wstrzykiwanie szkodliwej funkcji za pośrednictwem mobilnej aplikacji

W najgorszym scenariuszu jeśli dostawca usług e-mail nie zmodyfikuje poprawnie zawartości wiadomości przychodzącej, osoba atakująca będzie mogła wykorzystać tę lukę w celu wykonania ataku wstrzyknięcia szkodliwego JavaScriptu, określanego również jako Stored XSS.

Inny scenariusz może zakładać wykorzystanie powiązanego formularza HTML w celu gromadzenia informacji o ofierze lub przekierowania ofiary do strony, z której może zostać pobrany szkodliwy plik wykonywalny. 

linkedin_potential_en_7_auto.png

Przykładowy scenariusz – kradzież danych uwierzytelniających

W listopadzie zeszłego roku badacze z Kaspersky Lab skontaktowali się z zespołem odpowiedzialnym za bezpieczeństwo Linkedin, informując o problemie. Platforma została załatana, a zagrożenie złagodzone.    

Co robić, aby nie stać się ofiarą:

  1. Stosuj zaawansowane rozwiązanie typu Internet Security pozwalające odfiltrować niebezpieczne przekierowania do serwerów, które zawierają szkodliwe oprogramowanie, zagrożenie phishingowe itd. Jeśli rozwiązanie zostało już zainstalowane, należy stale je aktualizować.
  2. Otwierając załącznik luk klikając odsyłacz w wiadomości e-mail – nawet od znanego nadawcy – można pobrać szkodliwą zawartość. Nie należy podejmować tej decyzji bez zastanowienia. 
  3. Nie rejestruj się na platformach społecznościowych przy użyciu firmowego konta e-mail. 

Podziękowania:

Jonathan Jaquez – dyrektor generalny, Mageni.net

David Cintz – Sr. Technical Program Manager, Linkedin