Antivírus blog

vírusok, férgek, botnetek, kártevők

Zero-day hiba sújtotta a Firefoxot

2015. augusztus 17. 13:38 - Csizmazia Darab István [Rambo]

Ráadásul ezúttal nem csak a Windows változat szenvedett tőle, hanem a Linuxos és a Macintosh verzió is. Jó hír, hogy időközben a 39.0.3 és a rövid idő múlva megjelent 4.x javított változat már bezárta a kritikus sebezhetőséget, ezért mindenkinek érdemes haladéktalanul frissítenie.

Ez a biztonsági rés a támadók számára lehetővé tette, hogy kijátszva és megkerülve a beépített, PDF kezelésért felelős biztonsági policyt távoli JavaScriptet futtassanak le. A CVE-2015-4495 sérülékenységet kihasználva a támadók fájlokat tudtak olvasni, illetve írni az adott számítógépen, valamint ezeket fel tudták tölteni egy távoli szerverre.

Néhány esetben a manipuláció hatására a fertőzésre figyelmeztető hibaüzenet is megjelenhetett a felhasználók képernyőjén, amely szerint az adott PDF állomány nem jeleníthető meg szabályosan.

Az első, a Microsoft Windows és a Linux platformok elleni kártevő hullám után a második verzióban a támadók a Linuxos kódot alakították át úgy, hogy az már a Macintosh rendszereken is fusson. A kártevő változatok fő célja azonban minden esetben az volt, hogy az operációs rendszerenként egyedileg különböző beállításokat, jelszavakat tartalmazó fájlokat összegyűjtse, és egy távoli szerverre feltöltve azokat ellopja.

Így többek közt a Windows alatt futó változat a népszerű FTP, az SSH, illetve azonnali üzenetküldő kliens programok jelszavait is ellopta, míg a Linux variáns az alábbi útvonalakon található állományokra vadászott:
   /etc/passwd
  /etc/hosts
  /etc/hostname
  /etc/issue

Az ESET biztonsági kutatói a fertőzött szerverek listáját is nyilvánosságra hozták, ezek egy része Oroszországban, illetve Kirgizisztánban volt beregisztrálva. Az ukrán hatóságok pedig megerősítették, hogy a támadásban olyan szerverek is résztvettek, amelyeket Ukrajnában hosztoltak.

  hxxp: //www.akipress.org/
  hxxp: //www.tazabek.kg/
  hxxp: //www.super.kg/
  hxxp: //www.rusmmg.ru/
  hxxp: //forum.cs-cart.com/
  hxxp: //www.searchengines.ru/
  hxxp: //forum.nag.ru/

A Mozilla augusztus 6-án kiadta a hibajavított 39.0.3-as verziót, amit a Windows felhasználók automatikusan, kézzel vagy pedig valamilyen (például Secunia PSI) patch menedzser program segítségével is frissíthetnek. Aki Linuxot használ, annak is csak pár napot kellett várnia, amíg a különböző disztribúciók hivatalos tárolói is végre megkapták előbb a 39.0.3, később pedig Linuxra a 40.0.0, Macintoshra és Windowsra pedig a 4.0.2 javított verziót.

Bár mindenkinek erősen javasolt az új programverziókra való áttérés, létezik egy átmeneti "workaround" megoldási mód is, ehhez pedig mindössze a Firefox beépített PDF olvasóját szükséges letiltani a "pdfjs.disabled" opció "igaz" értékre való beállítás segítségével.

A részletes elemzés azt mutatta, hogy a malware szerzői igen alaposan ismerték a Firefox belső működését, így sikerülhetett olyan script kártevőt készíteniük, amely nem csak a fertőzést, hanem egyúttal magát az adatlopást is végre tudta hajtani.

Az ESET szoftverei a sebezhetőséget kihasználó kártevőt "JS/Exploit.CVE-2015-4495" néven ismerik fel, illetve blokkolják. A teljes elemzés angol nyelven az alábbi linket érhető el:
http://www.welivesecurity.com/2015/08/11/firefox-under-fire-anatomy-of-latest-0-day-attack/

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr167712594

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.