FireFox, scoperto problema di vulnerabilità delle estensioni
Le estensioni in FireFox non sono tra loro isolate: grazie a un add-on appositamente scritto, si potrebbero sfruttare le eventuali vulnerabilità di altre estensioni per condurre attacchi, e con alta probabilità di successo…
NoScript, Firebug ed altre famose estensioni di Firefox possono mettere gli utenti finali a rischio di un nuovo tipo di attacco che consente l’esecuzione di codice dannoso e la sottrazione furtiva di dati sensibili. I ricercatori di sicurezza Ahmet Buyukkayhan e William Robertson hanno presentato il problema in occasione del Black Hat Asia, svoltosi dal 20 marzo all’1 aprile scorsi a Singapore.
Si tratta di un attacco reso possibile dal fatto che Firefox, a differenza di altri browser, non opera alcuna misura di isolamento tra le varie estensioni installate dall’utente. Questo “riuso di vulnerabilità” permette ad un add-on dannoso di occultare il suo comportamento appoggiandosi alle funzionalità di altre estensioni. Invece, per esempio, di portare il sistema a visitare un sito web fraudolento o a scaricare file dannosi, l’add-on va a sfruttare le vulnerabilità di estensioni di terze parti che possono consentire l’esecuzione delle medesime azioni.
“Questa vulnerabilità permettono ad un’estensione apparentemente innocua di riutilizzare funzionalità pericolose per la sicurezza presenti in altre estensioni legittime, allo scopo di lanciare in maniera furtiva attacchi confusi. Estensioni dannose che fanno uso di questa tecnica sarebbero molto più difficili da individuare tramite le attuali metodologie di analisi” spiegano gli autori della ricerca, dettagliata in questo documento.
Tra le 10 estensioni più popolari approvate ufficialmente da Mozilla e rese disponibili sul sito ufficiale, solamente AdBlock Plus non presenta alcuna falla che possa essere sfruttata da un add-on che si basa sulla tecnica del riuso delle vulnerabilità. Oltre alle già citate NoScript e Firebug, anche Video DownloadHelper, Greasemonkey e FlashGot Mass Down hanno mostrato vulnerabilità facilmente riutilizzabili da una eventuale estensione realizzata appositamente per questo scopo, che possono portare alla sottrazione dei cookie del browser, all’accesso e al controllo del filesystem o all’apertura di pagine web scelte da un attaccante.
“Abbiamo osservato che mentre è possibile combinare vulnerabilità di varie estensioni per elaborare attacchi complessi, spesso basta impiegare una singola vulnerabilità per lanciare attacchi pericolosi con un’alta probabilità di successo, rendendo questo tipo di minaccia piuttosto grave anche in presenza di un piccolo numero di estensioni” osservano ricercatori.
I ricercatori hanno sviluppato un’estensione per FireFox molto semplice, allo scopo di realizzare un proof-of-concept. L’estensione, dal nome ValidateThisWebsite, ha lo scopo di analizzare il codice HTML di un sito web per determinare se risponde agli attuali standard. Dietro le quinte, però, questa estensione compie una chiamata cross-extension a NoScript che causa l’apertura in FireFox di un indirizzo web scelto dai ricercatori. Quanto osservato è frutto proprio della mancanza di isolamento tra le estensioni di FireFox.
Mozilla ha riconosciuto il problema e ha fatto sapere di essere al lavoro su una riscrittura completa del modo in cui FireFox gestisce e usa le estensioni, in maniera tale da usare misure di sandboxing che evitino la condivisione di codice. I ricercatori suggeriscono che, in attesa della pubblica disponibilità delle nuove architetture per le estensioni, venga modificato il processo di revisione degli add-on così da poter identificare con maggior accuratezza le eventuali estensioni dannose e le vulnerabilità incrociate. (fonte)
