Una falla in Firefox consente ai file HTML di rubare altri documenti dal sistema della vittima

L’esperto di sicurezza Barak Tawily ha dimostrato che l’apertura di un file HTML mediante il browser web Firefox potrebbe consentire agli attaccanti di rubare i file memorizzati sul computer di una vittima a causa di un bug nel browser noto da 17 anni.

Il ricercatore ha pubblicato i dettagli dell’attacco tramite il sito TheHackerNews ed ha dimostrato che la sua tecnica funziona persino contro l’ultima versione di Firefox.

“Barak Tawily, un ricercatore in sicurezza delle applicazioni, ha condiviso le sue scoperte con The Hacker News, dimostrando di aver sviluppato con successo un nuovo attacco efficace contro l’ultima versione di Firefox sfruttando un problema nel browser noto da 17 anni.” riporta TheHackerNews.

L’esperto ha spiegato che stava analizzando l’implementazione del meccanismo di sicurezza noto come “Same Origin Policy” (regola della stessa origine) quando ha scoperto che lo stesso è vulnerabile ad un attacco che consente il furto locale di file.

Come spiegato anche su Wikipedia, la same origin policy (regola della stessa origine) è un importante concetto di sicurezza informatica per un ampio gruppo di linguaggi di scripting lato client, come per esempio JavaScript. La regola permette agli script in esecuzione in pagine che provengono dallo stesso sito di accedere ai reciproci metodi e proprietà senza specifiche restrizioni, impedendo invece l’accesso alla maggior parte dei metodi e delle proprietà tra pagine provenienti da siti diversi.

“Recentemente, stavo conducendo una ricerca sugli attacchi al meccanismo di Same Origin Policy, e sono riuscito a scoprire che la versione attuale di Firefox (versione 67) è vulnerabile ad un attacco che consente il furto locale di file (su qualsiasi sistema operativo supportato), a causa dell’implementazione per la gestione degli “universal resource identifier” (URI) associati ai file. Esaminiamo in dettaglio la Proof of Concept, quindi vi spiegherò per quale motivo l’implementazione non è corretta.” ha scritto l’esperto.

Secondo Tawily, Firefox non ha corretto l’implementazione della Same Origin Policy (SOP) per lo schema URI File nel corso degli anni.

L’esperto ha anche condiviso i dettagli del suo PoC e un video dell’attacco in cui Tawily ha mostrato come un utente malintenzionato può facilmente rubare le chiavi SSH segrete delle vittime in ambiente Linux quanto le vittime salva i il file HTML scaricato nella directory dell’utente che include le chiavi SSH nella relativa sottocartella.

1. L’attaccante invia una e-mail alla vittima con il file allegato da scaricare, in alternativa la vittima visita il sito Web dell’attaccante scarica il file HTML.
2. La vittima apre il file HTML malevolo.
3. Il file carica la cartella contenente in un iframe (quindi il percorso del file è file:///home/user/-malicious.html, e la sorgente del codice iframe sarà file:///home/user/)
4. La vittima clicca su un pulsante presente nel file HTML malevolo, ma in realtà sta facendo clic sul file html dannoso contenuto all’interno dell’elenco delle directory dell’iframe (usando la tecnica ClickJacking, per sfruttare la “falla di cambio di contesto” che mi consente di accedere ai file presente nella mia cartella principale)
5. L’iframe malevolo ha scalato i privilegi ed è in grado di leggere qualsiasi file nella cartella che contiene il file malevolo, (nella maggior parte dei casi la cartella download, che nel mio caso è file:///home/user/).
6. Il file malevolo è in grado di leggere qualsiasi file nella cartella che lo contiene (file:///home/user/), come la chiave privata SSH semplicemente recuperando il file:///home/user/.ssh/ida_rsa e rubare qualsiasi file attraverso una ulteriore richiesta di accesso al sito Web dell’attaccante.
7. L’utente malintenzionato sfruttando questa vulnerabilità ottiene tutti i file presenti nella cartella contenente il file dannoso.

Un utente malintenzionato potrebbe portare a termine l’attacco convincendo le vittime a scaricare ed aprire un file HTML malevolo attraverso il browser Web Firefox e fare clic su un falso pulsante per attivare l’exploit.

“Tawily ha spiegato a The Hacker News che tutte le azioni sopra menzionate potrebbero esser condotte segretamente in background in pochi secondi senza la conoscenza delle vittime, le quali non appena fanno clic sul pulsante posto all’interno sulla pagina HTML malevola” continua The Hacker News

L’esperto ha segnalato il problema a Mozilla, ma la società sembra non essere intenzionata nel breve a risolvere il problema.

“La nostra implementazione della Same Origin Policy consente ad ogni file: // URL di accedere ai file nella stessa cartella e sottocartelle.” Recita la risposta fornita da Mozilla.