Quali buchi di sicurezza vengono introdotti facendo clic su un collegamento sconosciuto?

6

Oggi ho ricevuto un'e-mail che mi diceva che "il mio account era compreso", un ovvio tentativo di pesca, o almeno così pensavo.

Quando ho cliccato sul link, solo per il gusto di farlo, mi ha portato a una pagina che si chiudeva immediatamente. Questo mi ha fatto pensare a possibili exploit che potrebbero essere abusati senza inserire informazioni o scaricare un file. Il collegamento ipertestuale è sotto e, come puoi vedere, l'URL non contiene quasi nulla che possa identificarmi. Facendo clic, il collegamento reindirizza alcune volte e quindi chiude la scheda. Il sito di base sembra essere una palestra e, come previsto, il sito che ha inviato l'e-mail non ha un registro DNS appropriato.

La mia domanda è questa: quali potenziali difetti di sicurezza potrei essere stato esposto semplicemente tagliando su un link sconosciuto e non facendo altro?

Collegamento email:
hxxp: //stile-gi.ru/administrator/components/com_falang/inferentialj.html

    
posta tuskiomi 10.04.2018 - 22:17
fonte

3 risposte

4

Supponendo che nel tuo browser non ci siano vulnerabilità sfruttabili da remoto (incluso alcuno dei plugin), nel tuo software AV, nel tuo sistema operativo, nel tuo router ... non c'è pericolo. :)

Io sono timido, ovviamente, ma non sto piegando la verità di molto. Se stai mantenendo aggiornato il software della tua workstation, è molto probabile che tu sia immune dalla maggior parte delle cose che Internet ti sta causando. I tentativi di exploit drive-by inviati in massa (o auto-propaganti, come i worm) di solito cercano di sfruttare le vecchie vulnerabilità, nella speranza di catturare le persone che non hanno applicato gli aggiornamenti di sicurezza.

D'altro canto, se sei un obiettivo sufficientemente valido per qualcuno che ti sta bersagliando direttamente, allora devi essere molto più consapevole e attento a fare clic sui link casuali, perché qualcuno potrebbe tentare di usare il cosiddetto " 0 giorni "exploit su di te. Questi sarebbero exploit che non sono noti ai ricercatori di sicurezza o noti ma senza correzioni note / firme AV / ecc. Le persone attente alla sicurezza di solito dispongono di un ambiente in modalità sandbox (una macchina virtuale completamente isolata, ad esempio) per l'apertura di link che ritengono sospetti, ma è ovviamente eccessivo per la maggior parte delle persone. Il tuo browser include difese significative contro contenuti dannosi che potrebbero essere dannosi per il tuo sistema, e se sei stato attento a mantenere il tuo sistema operativo e il tuo browser aggiornato con le ultime patch, probabilmente stai bene.

    
risposta data 11.04.2018 - 01:26
fonte
4

Alcuni:

Attacchi al browser Driveby: questo è il punto in cui un utente malintenzionato sfrutta una vulnerabilità nel browser e da lì può estrarre informazioni dal browser o più probabile codice di esecuzione sul computer.

CSRF: possono inviare richieste ai siti (che non dispongono della protezione CSRF) a cui si è già connessi facendo clic su un pulsante (non sempre ciò è necessario). A volte, se il sito con cui un utente malintenzionato ti sta interagendo è molto mal concepito, potrebbe farti fare cose su quel sito tramite un tag immagine, ad esempio:

Attacca la tua rete interna o il tuo router. Gli aggressori possono richiedere risorse dietro il firewall perché il browser è dietro il firewall. Possono anche attaccare il tuo router (i router sono notoriamente vulnerabili agli aggressori che si trovano sulla stessa rete del router, dai un'occhiata a questo sito link ) . Un attacco del genere sarebbe spesso aiutato da qualcosa come rebinding DNS . La cosa più comune che un utente malintenzionato potrebbe fare quando attacca il tuo router sta modificando i server DNS o le impostazioni proxy del router in modo che possano MITM il tuo traffico.

Un utente malintenzionato potrebbe anche attaccare qualsiasi server Web in esecuzione sul tuo computer. Tutti i tipi di applicazioni eseguono server Web sul tuo computer che probabilmente non conosci nemmeno. Recentemente è stato scoperto un exploit nel torrente UTorrent che consentirebbe a un utente malintenzionato di eseguire codice su un computer degli utenti tramite richieste a un server su cui UTorrent era eseguito su macchine degli utenti ( fonte ). Un altro esempio è la recente vulnerabilità di Kaspersky che ha fatto la stessa cosa.

Un attacco può anche attaccare applicazioni locali interagendo con detta applicazione tramite il suo URI personalizzato Ad esempio, il recente Portafoglio Exodus RCE ( link )

    
risposta data 11.04.2018 - 18:21
fonte
2

Per rendere questa risposta più generale, ho rimosso i domini effettivi: i link tendono a scadere a breve quando l'amministratore del sito compromesso risponde al problema.

I'm curious about this specific case. -- curl'ing -- seemingly useless -- obfuscated javascript

Questo http://example.com/administrator/components/com_falang/inferentialj.html può essere visto come un punto di ingresso. Contiene JavaScript offuscato apparentemente inconfondibile che non per sé contiene qualcosa di direttamente dannoso. Molti di questi cercano di apparire come un normale componente o plug-in CMS, e alcuni addirittura si attivano solo in determinate condizioni, come quando qualcuno visita il sito per la prima volta. Tutto questo per la sopravvivenza: per nascondersi dall'amministratore del sito il più a lungo possibile. L'unico scopo per il punto di ingresso potrebbe essere quello di reindirizzare l'utente altrove, come avviene ora.

Ciò che succede dopo può anche variare a seconda delle condizioni, per complicare le indagini. Il prossimo sito può essere configurato per fornire il payload effettivo solo quando un browser effettivo lo accede, o solo se il user agent del browser corrisponde a qualcosa che potrebbe essere sfruttato. Può dare diversi contenuti quando user agent è ad es. curl/7.52.1 , quindi offuscare l'agente utente utilizzando curl -A può diventare utile. Il prossimo URL http://example.net/?s=27012018&a=401336&c=cpcdiet restituisce una risposta vuota a curl , mentre Google Chrome ottiene un nuovo reindirizzamento HTTP:

Location: http://example.net/all/gcqs/cpc?bhu=CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d

che ha il seguente contenuto (indentazione aggiunta per leggibilità):

<link rel="stylesheet" 
    href="/assets/CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d/theme_1pgoz4.css?CID=411298" 
    type="text/css">
<link rel="dns-prefetch" 
    href="http://203.0.113.61.d.example.org">
<script>
    window.location.replace("http://pharmacy-site.example.org");

dove

  • l'URL stylesheet ha solo un segnaposto CSS contenente solo /*...Empty theme...*/
  • l' dns-prefetch URL conduce attualmente a NXDOMAIN
  • il script finalmente reindirizza a un sito intitolato Negozio online di farmacia , vendendo Viagra.

La posizione finale è un dominio registrato a una persona privata dalla Russia; alta probabilità di truffa.

What potential security flaws could I have been exposed to by simply slicking on an unknown link, and doing nothing else?

Questo ha un enorme potenziale di essere dannoso in generale, ma dipende da come reagisce il tuo browser ed è l'exploit mirato contro una vulnerabilità in questo particolare ambiente.

Questa indagine ha rivelato che potresti aver perso denaro ordinando il Viagra su un sito farmaceutico (probabilmente falso), ma potrebbe anche essere stato peggio.

    
risposta data 11.04.2018 - 09:02
fonte

Leggi altre domande sui tag