DIABASTE DWREAN SEC 134
techmail
DIGITAL TV 172
securityreport e mag odhgos 2021
6 Οκτωβρίου 2021 10:40

SpookJS: Νέα επίθεση στη προστασία ιστότοπων της Google Chrome

admin ajax.php?action=kernel&p=image&src=file%3Dwp content%252Fuploads%252F2022%252F05%252F5cf44470d8954a55e958729f8e72665f XL

Το τελευταίο χρόνο έχει σημειωθεί μια ραγδαία αύξηση επιθέσεων για την απόκτηση προσωπικών δεδομένων των χρηστών από διάφορες πλατφόρμες. Πριν κάποιες ώρες βγήκε ανακοίνωση για νέο τρόπο επίθεσης κερδοσκοπικής εκτέλεσης τύπου Spectre, η οποία χρησιμοποιεί σύγχρονους επεξεργαστές, οι οποίοι είναι ενσωματωμένοι στα προγράμματα περιήγησης Google Chrome και Chromium. Η επίθεση αυτή καταφέρνει να προσπεράσει με επιτυχία την διαδικασία προστασίας απομόνωσης τοποθεσίας ιστοσελίδων δημοσιεύοντας ευαίσθητες πληροφορίες.

Το τελευταίο χρόνο έχει σημειωθεί μια ραγδαία αύξηση επιθέσεων για την απόκτηση προσωπικών δεδομένων των χρηστών από διάφορες πλατφόρμες. Πριν κάποιες ώρες βγήκε ανακοίνωση για νέο τρόπο επίθεσης κερδοσκοπικής εκτέλεσης τύπου Spectre, η οποία χρησιμοποιεί σύγχρονους επεξεργαστές, οι οποίοι είναι ενσωματωμένοι στα προγράμματα περιήγησης Google Chrome και Chromium. Η επίθεση αυτή καταφέρνει να προσπεράσει με επιτυχία την διαδικασία προστασίας απομόνωσης τοποθεσίας ιστοσελίδων δημοσιεύοντας ευαίσθητες πληροφορίες.

Ακαδημαϊκοί από διάφορα Πανεπιστήμια όπως του Πανεπιστημίου του Μίσιγκαν και του Πανεπιστημίου του Τελ Αβίβ, του Ινστιτούτου Τεχνολογίας της Γεωργίας ονόμασαν την επίθεση αυτή SpookJS. Η τεχνική αυτή-γραμμένη σε JavaScript- έχει ως στόχο να προσπεράσει όλες τις διαδικασίες που έχει θέσει η Google μετά την ανακοίνωση κάποιον ευαλωτήτων στα Spectre και Meltdown που ανακαλύφθηκαν τον Ιανουάριο το 2018. Το Spectre και το Meltdown είναι οι δύο ευπάθειες στα chip επεξεργαστών που εντόπισαν χάκερς. Το Spectre δίνει τη δυνατότητα σε χάκερς να εξαπατήσουν τον επεξεργαστή, ώστε να ξεκινήσει η speculative execution διαδικασία. Για να έχουν οι υπολογιστές την ταχύτερη επίδοση, εφαρμόστηκε στους επεξεργαστές τους μια τεχνολογία βελτιστοποίησης όπου “μαντεύει” ο υπολογιστής ουσιαστικά ποιες πληροφορίες θα πρέπει να εκτελέσει για την επόμενη λειτουργία του. Αυτό ονομάζεται speculative execution, και όσο ο επεξεργαστής προσπαθεί να προβλέψει τις λειτουργίες που θα χρειαστεί στη συνέχεια της εργασίας του ο χρήστης, η πρόσβαση σε κακόβουλους χρήστες γίνεται πιο εύκολη.

Το Spectre δίνει τη δυνατότητα σε hackers να ξεγελάσουν τον επεξεργαστή να ξεκινήσει η speculative execution διαδικασία, ώστε να μπορούν να διαβάσουν τα ευαίσθητα δεδομένα που διαθέτει ο επεξεργαστής καθώς προσπαθεί να μαντέψει τη λειτουργία που θα εκτελέσει ο υπολογιστής στη συνέχεια. Το Meltdown, επιτρέπει στους χάκερς να έχουν πρόσβαση σε πληροφορίες περί ασφαλείας μέσω του λειτουργικού συστήματος ενός υπολογιστή, όπως είναι τα Microsoft Windows ή το macOS της Apple. Οι ερευνητές δήλωσαν ότι “Μια ιστοσελίδα που ελέγχεται από εισβολείς μπορεί να γνωρίζει ποιες άλλες σελίδες από τους ίδιους ιστότοπους περιηγείται ένας χρήστης, να ανακτήσει ευαίσθητες πληροφορίες από αυτές τις σελίδες και ακόμη και να ανακτήσει διαπιστευτήρια σύνδεσης (π.χ. όνομα χρήστη και κωδικό πρόσβασης) όταν συμπληρώνονται αυτόματα”. Ακόμη, πρόσθεσαν στη δήλωσή τους ότι “ο εισβολέας μπορεί να ανακτήσει δεδομένα από επεκτάσεις Chrome (όπως διαχειριστές διαπιστευτηρίων) εάν ένας χρήστης εγκαταστήσει μια κακόβουλη επέκταση”.

Το Spectre, ορισμένο ως CVE-2017-5753 και CVE-2017-5715, αναφέρεται σε μια κατηγορία ευάλωτων σημείων υλικού σε CPU που σπάει την απομόνωση μεταξύ διαφορετικών εφαρμογών και επιτρέπει στους χάκερς να ξεγελάσουν ένα πρόγραμμα για να αποκτήσουν πρόσβαση σε αυθαίρετες τοποθεσίες που σχετίζονται με το χώρο μνήμης του. Έτσι, καταφέρνει να διαβάσει το περιεχόμενο της προσπελάσιμης μνήμης αποκτώντας δυνητικά ευαίσθητα δεδομένα. “Αυτές οι επιθέσεις χρησιμοποιούν τις κερδοσκοπικές δυνατότητες εκτέλεσης των περισσότερων CPU για πρόσβαση σε μέρη της μνήμης που πρέπει να είναι εκτός ορίου σε ένα κομμάτι κώδικα και στη συνέχεια χρησιμοποιούν επιθέσεις χρονισμού για να ανακαλύψουν τις τιμές που είναι αποθηκευμένες σε αυτήν τη μνήμη”, σημείωσε η Google, προσθέτοντας “Αποτελεσματικά, αυτό σημαίνει ότι ο κώδικας αυτός μπορεί να είναι σε θέση να διαβάσει οποιαδήποτε μνήμη στο χώρο διευθύνσεων της διαδικασίας του”.

Η διαδικασία προστασίας απομόνωσης τοποθεσίας ιστοσελίδων της Google δημιουργήθηκε το 2018, και το λογισμικό της είναι σχεδιασμένο έτσι ώστε να δυσκολέψει την εκμετάλλευση αυτών των επιθέσεων και μεταξύ άλλων να μειώνουν την λεπτομερής χρονομέτρηση. Με ενεργοποιημένη τη λειτουργία, οι εκδόσεις του προγράμματος περιήγησης Chrome 67 και νεότερες εκδόσεις θα φορτώνουν σε κάθε ιστότοπο τη δικής τους διαδικασία και, ως εκ τούτου, θα αποτρέπουν επιθέσεις μεταξύ διαδικασιών και επομένως μεταξύ ιστότοπων. Ωστόσο, οι ερευνητές βρήκαν σενάρια όπου οι διαδικασίες ασφάλειας απομόνωσης ιστότοπου δεν χωρίζουν δύο ιστότοπους, υπονομεύοντας ουσιαστικά την προστασία Spectre. Η Spook.js εκμεταλλεύεται αυτή την ιδέα του σχεδιασμού για να οδηγήσει σε διαρροή πληροφοριών από προγράμματα περιήγησης που βασίζονται στο Chrome και στο Chromium που εκτελούνται σε επεξεργαστές Intel, AMD και Apple M1. Έτσι το Chrome διαχωρίζει:

Τα ‘example.com’ και ‘example.net’ λόγω διαφορετικών [τομέων ανώτερου επιπέδου].
Τα ‘example.com’ και ‘attacker.com’.
Ωστόσο επιτρέπεται:

Στο ‘attacker.example.com’ και στο ‘εταιρικό.example.com’ να μοιράζονται την ίδια διαδικασία.
Επιτρέπει στις σελίδες που φιλοξενούνται στο” attacker.example.com ‘να εξάγουν δυνητικά πληροφορίες από σελίδες κάτω από’ εταιρικές. Example.com
H ομάδα ασφαλείας του Chrome, τον Ιούλιο του 2021, επέκτεινε την απομόνωση ιστότοπου για να διασφαλίσει ότι “οι επεκτάσεις δεν μπορούν πλέον να μοιράζονται διαδικασίες μεταξύ τους”, εκτός από την εφαρμογή τους σε “ιστότοπους όπου οι χρήστες συνδέονται μέσω τρίτων παρόχων”.

Η νέα ρύθμιση, που ονομάζεται Αυστηρή απομόνωση επέκτασης, είναι ενεργοποιημένη από τις εκδόσεις 92 του Chrome και νεότερες εκδόσεις. “Διαχωρίσουν αμέσως τον κώδικα JavaScript που παρέχεται από το χρήστη από όλο το άλλο περιεχόμενο για τον ιστότοπό τους φιλοξενώντας όλο τον κώδικα JavaScript που παρέχεται από το χρήστη σε έναν τομέα που έχει διαφορετικό eTLD +1″, ανέφεραν οι ερευνητές. “Με αυτό τον τρόπο, η αυστηρή απομόνωση ιστότοπου δεν θα ενοποιήσει τον κώδικα που παρέχεται από τους επιτιθέμενους με δυνητικά ευαίσθητα δεδομένα στην ίδια διαδικασία, θέτοντας τα δεδομένα εκτός εμβέλειας ακόμα και για το Spook.js καθώς δεν μπορεί να υπερβεί τα όρια επεξεργασίας”.

Είναι φανερό ότι όσο εξελίσσεται η τεχνολογία, τόσο πιο συχνά ερχόμαστε αντιμέτωποι με νέες απειλές κάθε μέρα. Αυτές οι νέες επιθέσεις, βρίσκουν τα αδύνατα και εκτεθειμένα σημεία ενός λογισμικού, ενός συστήματος, ακόμα και μιας εταιρείας με αποτέλεσμα να τα εκμεταλλεύονται για δικό τους σκοπό. Ο μόνος τρόπος να προστατευτούν επιχειρήσεις και χρήστες είναι με την άμεση αντιμετώπιση και πρόληψη. Θα πρέπει να δίνουμε μεγάλη προσοχή στις ιστοσελίδες που επισκεπτόμαστε, από ποιες ιστοσελίδες κατεβάζουμε αρχεία, αν αυτά τα αρχεία είναι ασφαλή και να έχουμε πάντα κάποιο Antivirus λογισμικό κατεβασμένο στον υπολογιστή ή κινητό μας. Επίσης, θα πρέπει να αποφεύγουμε να αποθηκεύουμε κωδικούς των λογαριασμών μας σε ιστοσελίδες που επισκεπτόμαστε, αφού είναι εύκολο για κάποιον να αποκτήσει πρόσβαση σε αυτούς. Δεν υπάρχει πλήρης προστασία στο διαδίκτυο, αλλά με αυτά τα μικρά βήματα μπορούμε να κρατήσουμε τις συσκευές μας και τους κωδικούς μας ασφαλές.

Πηγή: https://www.csii.gr/nea-epithesi-me-onoma-spookjs-sti-prostasia-istotopon-tis-google-chrome/

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Report, τεύχος Ιανουαρίου 2023

    Security Report, τεύχος Ιανουαρίου 2023

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιανουαρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές...
  • Έγινε θεσμός η Creta Electronix 2022!

    Έγινε θεσμός η Creta Electronix 2022!

    Με επιτυχία ολοκληρώθηκε η Creta Electronix 2022, η πρώτη κλαδική έκθεση συστημάτων ασφαλείας, τηλεόρασης και ξενοδοχειακών λύσεων στην Κρήτη. Η τοπική αγορά και κοινωνία αγκάλιασε με ενθουσιασμό ...
  • Χρήστος Φείδας

    Χρήστος Φείδας

    Με ποιοτικά προϊόντα, που αντέχουν σε βάθος χρόνου, μοντέρνο σχεδιασμό, πολύ μεγάλη ευκολία χρήσης και καινοτόμες λειτουργίες, η Sigma Security αποτελεί σήμερα μία από τις σημαντικότερες εταιρίες ...
  • Κερδίζοντας περισσότερους πελάτες με μία «ανοιχτή λύση ασφαλείας ενός προμηθευτή»

    Κερδίζοντας περισσότερους πελάτες με μία «ανοιχτή λύση ασφαλείας ενός προμηθευτή»

    Σήμερα, οι επαγγελματίες εγκαταστάτες συστημάτων ασφαλείας θέλουν να ικανοποιήσουν όσο το δυνατόν περισσότερο τους πελάτες τους, παρέχοντας τους ένα ολοκληρωμένο χαρτοφυλάκιο λύσεων και υπηρεσιών ...
  • POS τερματικά και Video Analytics

    POS τερματικά και Video Analytics

    Μια εξαιρετικά αποτελεσματική στρατηγική για την πρόληψη απωλειών στα καταστήματα λιανικής, είναι η ενσωμάτωση των δεδομένων σημείου πώλησης (POS) με τις σύγχρονες πλατφόρμες Video Analytics. Η πλ...
  • Λογισμικά ανάλυσης περιεχομένου video (VCA)

    Λογισμικά ανάλυσης περιεχομένου video (VCA)

    Οι Enterprise λύσεις λογισμικού είναι αναμφίβολα μια επένδυση που δεν πρέπει να λαμβάνεται ελαφρά τη καρδία, ειδικά από τη στιγμή που επιλύουν δεκάδες προβλήματα σε μικρομεσαίες, μεγάλες επιχειρήσ...
  • Κάρτες MicroSD

    Κάρτες MicroSD

    Μπορεί να είναι στατικές, περιστρεφόμενες, να κρέμονται από μία οροφή, να κάθονται σε ένα ράφι, ακόμα και να είναι αόρατες, ωστόσο, το μόνο σίγουρο για τις κάμερες ασφαλείας, είναι πως σήμερα αποτ...
  • Το CERN επαναλειτουργεί και υιοθετεί την τεχνολογία αναγνώρισης ίριδας

    Το CERN επαναλειτουργεί και υιοθετεί την τεχνολογία αναγνώρισης ίριδας

    Το CERN απασχολεί σήμερα περίπου 3.000 μόνιμους εργαζόμενους, ενώ περίπου 6.500 επιστήμονες και μηχανικοί (που αντιπροσωπεύουν 500 πανεπιστήμια και 80 διαφορετικές εθνικότητες), περίπου το μισό τη...
  • Γιατί η Ευρώπη απαιτεί ένα ενημερωμένο πρότυπο συστήματος «EN» για συστήματα συναγερμού

    Γιατί η Ευρώπη απαιτεί ένα ενημερωμένο πρότυπο συστήματος «EN» για συστήματα συναγερμού

    Αυτή τη στιγμή, η ευρωπαϊκή επιτροπή CENELEC TC79, που είναι υπεύθυνη για τα συστήματα συναγερμού, εξετάζει μια αναθεώρηση του γνωστού προτύπου EN50131-1, το οποίο χωρίζεται στην ουσία σε 4 κατηγο...
  • IP κάμερες

    IP κάμερες

    Ολοένα και περισσότερες συσκευές ασφαλείας συνδέονται στο internet με αποτέλεσμα να αυξάνεται ο αριθμός παραβιάσεων και άρα η διαρροή προσωπικών δεδομένων.  Οι εν λόγω επιθέσεις, που ονομάζον...
  • Body Worn Cameras

    Body Worn Cameras

    Οι φορητές κάμερες (body κάμερες) είναι κατάλληλα σχεδιασμένες ώστε να τοποθετούνται στον κορμό, στο κράνος, ακόμα και στα γυαλιά. Οι περισσότερες από αυτές τις κάμερες διαθέτουν streaming δυνατότ...
  • NOVA ALARM

    NOVA ALARM

    Το σύστημα ασφαλείας NOVA ALARM είναι ένα επαγγελματικό σύστημα συναγερμού, με περισσότερα από 13 έτη αξιόλογης παρουσίας στην ελληνική αγορά και διατίθεται αποκλειστικά από την KEEPER GROUP.  Ακο...
ΤΟ ΑΠΟΛΥΤΟ
ΠΕΡΙΟΔΙΚΟ
ΓΙΑ ΤΑ
ΣΥΣΤΗΜΑΤΑ
ΑΣΦΑΛΕΙΑΣ

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364



ΕΝΗΜΕΡΩΤΙΚΑ ΔΕΛΤΙΑ


Securityreport.gr - Το απόλυτο περιοδικό για τα συστήματα ασφαλείας
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design