Vídeo: #9. Стек / 1. Ассемблер и процедуры / Программирование с нуля (De novembre 2024)
Parlem molt d’atacs de programari maliciós exòtics i de vulnerabilitats obscures a la seguretat aquí a SecurityWatch, però un atac pot aprofitar una cosa tan bàsica com la forma en què apareixen les finestres a la pantalla. Un investigador ha demostrat una tècnica per la qual les víctimes se’ls enganya a executar programari maliciós només prement la lletra "r".
A finals del mes passat, la investigadora Rosario Valotta va escriure una publicació al seu lloc web on va exposar un atac que es va produir al voltant de "abusar de les interfícies d'usuari del navegador". La tècnica fa ús d'alguns aspectes peculiars en els navegadors web, amb només una mica d'enginyeria social.
L’Atac
S’anomena “keyjacking”, després de la tècnica de clickjacking, on les víctimes s’enganyen a fer clic en un objecte que generi respostes inesperades. A l'exemple de Valotta, visiteu un lloc maliciós i comença una descàrrega automàtica. A Internet Explorer 9 o 10 per a Windows 7, això genera una finestra de diàleg massa familiar amb les opcions per executar, guardar o cancel·lar.
Aquí ve el truc: l’atacant estableix el lloc web per ocultar la finestra de confirmació darrere d’una pàgina web, però manté la finestra de confirmació en focus. El lloc web demana a l'usuari que premeu la lletra "R", potser amb un captcha. Un paràmetre del cursor intermitent al lloc web porta a l'usuari a pensar que els seus pulsacions de teclat apareixeran al quadre de diàleg del captcha fals, però en realitat s'envia a la finestra de confirmació on R és la drecera de l'execució.
L’atac també es pot utilitzar a Windows 8, amb l’aspecte d’enginyeria social modificat per atraure la víctima a colpejar TAB + R. Per a això, Valotta suggereix fer servir un joc de proves de mecanografia.
Per a tots els usuaris de Chrome que hi ha, Valotta ha descobert un altre truc que es troba en la tradicional línia de clic. En aquest escenari, la víctima va fer clic en alguna cosa només per fer desaparèixer l'últim segon i fer clic al registre del registre en una finestra a sota.
"Obre una finestra emergent en algunes coordenades de pantalla específiques i la posa a la finestra de primer pla i comença la descàrrega d'un fitxer executable", escriu. Una finestra al primer pla demana a l'usuari que faci clic: potser per tancar un anunci.
"L'atacant, utilitzant JS, és capaç de fer un seguiment de les coordenades del punter del ratolí, així que tan aviat com el ratolí passa sobre el botó, l'atacant pot tancar la finestra del primer pla", continua Valotta. "Si el calendari és adequat, hi ha bones possibilitats que la víctima faci clic a la barra de notificació popunder subjacent, de manera que es realitzi automàticament el fitxer executable."
La part més espantosa d’aquest atac és l’enginyeria social. A la seva publicació al bloc, Valotta assenyala que M.Zalewski i C.Jackson ja han investigat la probabilitat que una persona caigui per fer clic. Segons Valotta, va tenir èxit més del 90 per cent de les vegades.
No pànic massa
Valotta concedeix que hi ha alguns singlots al seu pla. Per un, el filtre de pantalla inteligent de Microsoft pot eliminar aquest tipus d'atacs un cop es denuncien. Si l'executable ocult requereix privilèges d'administració, el Control d'accés de l'usuari generarà un altre avís. Per descomptat, Smartscreen no és insensible i Valotta tracta el problema de la UAC preguntant: "realment necessiteu privilegis administratius per causar danys greus a les vostres víctimes?"
Com sempre, la manera més fàcil d’evitar l’atac és no accedint al lloc web. Eviteu ofertes de descàrregues estranyes i enllaços fora de blau de persones. A més, tingueu en compte quines finestres destaquen a la pantalla i feu clic als camps de text abans d'escriure. També podeu utilitzar els navegadors integrats en el suport de bloqueig emergent / emergent.
Si no és res més, aquesta investigació és un recordatori que no totes les vulnerabilitats són codi oblic o programari maliciós exòtic. Alguns es poden amagar en llocs que no esperem, com els telèfons VoIP, o aprofitar que els ordinadors estan dissenyats per donar sentit als humans que hi ha al davant.