Skype: Vulnerabilità Cross-Zone Scripting

Posted on gennaio 23, 2008. Filed under: News |

Una vulnerabilità che permette ad un attacker di eseguire codice arbitrario non autorizzato su un PC Windows con installato Skype, il popolare client VoIP, è stata isolata e dimostrata tramite PoC da alcuni ricercatori di sicurezza. L’azienda, in un advisory dedicato e sul blog ufficiale, ha confermato che la problematica di sicurezza è legata ad un bug di Cross-site Scripting su DailyMotion, sito di video-sharing utilizzato per permettere lo scaricamento e l’aggiunta di video clip in messaggio di stato e chat.

La vulnerabilità poteva affliggere gli utenti di Skype 3.5 e 3.6 per Windows, che nella galleria video di Skype, selezionavano un video Dailymotion modificato ad arte nel titolo per sfruttare la falla. Skype ha informato di aver bloccato il vettore d’attacco lato server in modo da impedire eventuali tentativi di exploit della falla, fino ad una risoluzione completa del problema. Skype ha temporaneamente disabilitato la possibilità di aggiungere video dalla galleria Dailymotion in attesa di un fix ufficiale (resta disponibile la galleria video di Metacafe).

Una descrizione più dettagliata del problema di sicurezza è stata pubblicata in un Skype Security Bulletin dedicato. Skype utilizza il controllo web di Internet Explorer per renderizzare contenuti HTML. Questo è necessario per fornire le funzionalità “aggiungi un video al messaggio del mio umore” e “aggiungi video alla chat”. La funzione viene eseguita sfruttando l’interfaccia JS/ActiveX che permette l’esecuzione di script nel contesto di sicurezza Local Zone di IE. Per sfruttare maliziosamente questa caratteristica, un attacker deve attaccare una vulnerabilità di iniezione codice sul sito un partner. Questo tipo di bug è stato isolato sul sito web di Dailymotion. Un attacker che crea un Titolo di un video in un modo particolare è in grado di eseguire codice arbitrario sul PC preso di mira. Affinché l’exploit venga condotto con successo, l’utente vittima deve trovare questo video nella galleria video di Skype nelle sezione Dailymotion. La visione del video nella chat Skype o nel messaggio di umore del client è sicuro, in quanto non viene utilizzato il controllo di Internet Explorer. Il codice proof of concept che mostra l’exploit di questa vulnerabilità è stato pubblicato dai ricercatori Aviv Raff e Miroslav Lucinskij.

Petko D. Petkov, fondatore della security consultancy GnuCitzen.org, commenta in un intervento dedicato: “L’utente deve solo visitare DailyMotion da ‘Add video to chat’ di Skype e imbattersi un filmato che include il vettore di Cross-site Scripting. Questo tipo di scenario può essere ottenuto in diversi modo ma io credo che gli approcci più ovvi siano il social engineering o lo spam di DailyMotion con centinaia di filmati infetti relativi a chiavi di ricerca popolari“. Petkov evidenzia inoltre che, a parte questa vulnerabilità che mostra chiaramente i pericoli derivanti dal modello usato da Skype, esiste un altro vettore d’attacco che va tenuto in seria considerazione; sebbene funzioni solo nelle reti in cui l’attacker è in grado di influenzare la comunicazione (mitm attacks, packet injection su wifi networks, network spoofing, etc.). Petkov spiega che parte del traffico Skype viaggia su canale non crittato, come per esempio nella trasmissione degli annunci pubblicitari. In questo caso gli attacker potrebbero eseguire l’hijack di questi pacchetti rimpiazzandoli con contenuti nocivi che verrebbero eseguiti nell’ambito del controller IE senza restrizioni.

Fonte 

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: