Add-on de segurança do Mozilla com Backdoor

Posted: 28 julho 2010 by Bhior in Marcadores: ,
0

Um backdoor foi descoberto entre uma coleção de ferramentas de teste de segurança para o Firefox.
Autor: Paul Mutton

Um add-on do Mozilla firefox que explora vulnerabilidades em aplicativos web, que foi adicionado a coleção de ferramentas "Web Penetration Testing" do mozila, simplificava o processo das descobertas da vulnerabilizas.

Usando o Mozilla Sniffer add-on, você introduzia uma vulnerabilidade na aplicação que estava sendo testada, quando era gerado o formulários, o add-on secretamente enviava secretamente as senhas, copias das URL, informações e etc... para um suposto endereço IP controlado pelo autor, que supostamente estava mau intencionado... rsrs



O backdoor foi felizmente descoberto pelo usuário Mozilla Johann-Peter Hartmann(https://addons.mozilla.org/en-US/firefox/user/60371) do SektionEins (http://www.sektioneins.de) enquanto ele estava usando o Sniffer Mozilla add-on para testar a segurança do jogo online de um amigo.
Hartmann disse Netcraft:


"I was giving the OWASP Firefox Security Collection a try, installed a bundle of extensions unknown to me and started to have a look at a friend's online game from a security point of view. I started Burp Suite Pro in parallel to check what additional help I can get from the extensions, and to watch what they are doing."

Quando Hartmann registrado em jogo do seu amigo, ele notou uma solicitação HTTP incomum sendo feitas para o endereço relacionado no http://74.220.219.77. Este pedido transmitiu seu nome de usuário e senha para o servidor remoto, bem como a URL da página de login. 

Hartmann assumiu que este comportamento nefasto foi causado por um dos novos add-ons que ele tinha acabado de instalar, assim que definir sobre como extrair o código-fonte do add-ons e procurou a URL escondida. Ele ficou surpreso ao descobrir o código backdoor em um teste de segurança popular add-on chamado Tamper Data, mas isso foi porque o bandido real add-on - Mozilla Sniffer - estava compartilhando o mesmo UUID como o Tamper Data add-on, o que significa que tinha substituído o conteúdo  Tamper Data directory que era confiavel. Hartmann disse que esta era "uma maneira agradável de se esconder código backdoor". 

O Sniffer Mozilla add-on sobrescreveu alguns dos arquivos originais Tamper Data, e também um novo script chamado tamperPost.js. Isso injeta uma nova pesquisa () função, que é chamado quando um formulário é submetido pelo browser. Essa função procura todas as formas que têm campos de senha não-vazia e usa duas outras funções para enviar os dados roubados para o autor da fraude:


Depois de descobrir que o Sniffer Mozilla add-on foi a culpa, Hartmann relatou o problema para security@mozilla.org e ficou impressionado com a rápida resposta da Mozilla e profissional - ele recebeu uma resposta dentro de minutos ea prorrogação foi retirado do local pouco depois . Mozilla será automaticamente desativando o add-on para qualquer pessoa que tenha baixado e instalado.

Antes que add-on foi retirado, Hartmann também postou uma breve revisão para avisar outros usuários


O fraudador responsável pela criação do mal-intencionados add-on créditos (em Inglês fraco) e têm vindo a desenvolver Mozilla add-ons desde 2009, mas só criou uma conta no site no mês passado:


Os leitores do All Things Digital pode reconhecer a fotografia como sendo de gestão editor adjunto John Paczkowski, que confirmou a Netcraft que ele não é o proprietário desta conta Mozilla e que alguém tenha usado sua foto.

Embora a extensão do Mozilla Sniffer foi rotulado como "experimental", o autor mal-intencionado tentou adicionar o crédito, alegando que tinham sido "validados pela validação MOZILLA e revistos pelos desenvolvedores de mais de um addon" [sic]:





Mozilla confirmou posteriormente que não tinha comentado este add-on e estão atualmente trabalhando em um novo modelo de segurança que exigirá que todos os add-ons para ser código revisto antes de se tornar detectável em addons.mozilla.org.

Muitas aplicações web que são submetidos a testes de segurança não estão prontas e produção pode ter exposto vastas quantidades de dados e recursos para quem foi colher as URLs e senhas roubados por este add-on. Johann-Peter Hartmann Netcraft disse que esta era a primeira vez que ele tinha visto um Firefox add-on sendo utilizada como um backdoor, e questionou se verificar que muitas pessoas add-ons antes de usá-los, especialmente quando parecem vir de uma fonte oficial.



Imaginem os desenvolvedores do noscript fazendo isso? 
não da nem para imaginar o estrago.... rsrsrs

0 comentários: