Una vulnerabilità cross-site scripting su Facebook è stata sfruttata dagli hacker per creare un worm XSS con lo scopo di distribuire spam di prodotti per la perdita di peso. Secondo i ricercatori di sicurezza di Symantec che hanno analizzato l'attacco, la persistente vulnerabilità XSS leveraged è situata da qualche parte nel modulo di pubblicazione delle applicazioni. Questo ha permesso agli aggressori di iniettare codice JavaScript maligno in modo permanente tramite applicazioni di pagine Facebook canaglia, appositamente predisposte. Poiché le pagine sono risultate ospitate in Facebook.com, il codice canaglia è stato eseguito dal browser, nel contesto del dominio. Normalmente la sceneggiatura dovrebbe essere rimossa dai filtri antispam prima che la pagina venga mostrata all'utente, ma in questo caso, è stata in grado di passarne attraverso. Lo script maligno sarà poi eseguito nel contesto di Facebook.com, che permette di effettuare le richieste quali la sessione dell'utente. Tenete a mente questo avviene prima che la domanda richieda alcuna autorizzazione. Connessi a Facebook è sufficiente visitare la pagina appositamente predisposta per farla partire, come quando un utente visualizza dei nuovi messaggi.
Questo ha permesso agli aggressori di agire alle spalle degli utenti autenticati e abusare di loro per eseguire azioni non autorizzate. I collegamenti alle pagine canaglia venivano distribuiti tramite messaggi privati che recitavano: "Hey, What the hell are you doing in this video? Is this dancing or what?? lol [link]" ("Ehi, che diavolo stai facendo in questo video? E' questa danza o cosa? lol [link]"). Secondo gli esperti di GFI Labs, agli utenti che hanno visitato la pagina con il video veniva richiesto un falso aggiornamento di Flash Player ed è stato chiesto loro di non interrompere il processo. Questo è stato usato come una distrazione per guadagnare tempo per eseguire l'attacco vero. Mentre gli utenti rimanevano in attesa, sullo sfondo il codice JavaScript maligno otteneva il loro ID utente e costringeva il loro browser ad inviare aggiornamenti di stato che hanno promosso i prodotti di perdita di peso e iPads gratis. "Questi collegamenti spam puntano a pagine innocue ma fastidiose. Visitare questi siti non infetta il vostro profilo, almeno non al momento della stesura di questo articolo", hanno scritto i ricercatori di Symantec. Il codice inserito permette di leggere anche la lista dei propri amici e manda messaggi privati, come quello già citato, al fine di autopropagarsi. Misure sono già in atto per bloccare ogni ulteriore tentativo di sfruttamento della vulnerabilità.
Nessun commento:
Posta un commento