Les spécialistes de Guardio ont découvert (
actualités ,
recherche ) une vulnérabilité intéressante dans Evernote. Plus précisément, pas dans l'application de stockage des notes, mais dans l'extension du navigateur Google Chrome. Evernote Web Clipper vous permet d'enregistrer des pages Web, en tout ou en partie, et peut également ajouter des commentaires en plus du contenu original.
Cette fonctionnalité assez large a conduit à la nécessité d'incorporer du code sur toutes les pages visitées par l'utilisateur, si l'extension Evernote est installée. Initialement, un petit script fournit un chargement de code supplémentaire si l'utilisateur décide d'enregistrer la page. Il s'est avéré que ce chargement même du code n'était pas vraiment vérifié, ce qui permettait théoriquement à l'attaquant de recevoir des données d'utilisateurs privés d'autres ressources; il suffisait d'ouvrir la page préparée. Heureusement, la menace est restée théorique: le problème a été résolu, aucune preuve de son utilisation pour de véritables attaques n'a été trouvée.
La page Web attaquante, en plus du contenu visible, comprend plusieurs cadres cachés qui accèdent aux sites avec des données privées (comme indiqué dans la vidéo ci-dessus, ce sont les pages Facebook et PayPal). L'extension Evernote ajoutera son propre script au code d'une telle page, qui est responsable du chargement ultérieur du code dans tous les cadres. Le problème est que la source du code n'est pas vérifiée correctement et peut être remplacée par le code de l'attaquant.
L'intervention de l'utilisateur (par exemple, l'activation de toute fonction d'extension) n'est pas requise. Il suffit d'ouvrir la page modifiée et les informations des éléments iframe cachés commenceront à être transmises à l'attaquant. C'est ainsi qu'une version spécifique de Proof of Concept fonctionne, d'autres options sont possibles. La vulnérabilité ressemble à un
problème découvert et corrigé l'année dernière dans l'extension de Grammarly, un service de vérification orthographique. Dans ce cas, les jetons d'autorisation grammaticale étaient accessibles à tout autre site Web, de sorte que n'importe qui pouvait se connecter au service et accéder aux informations utilisateur (plus d'informations sur cette vulnérabilité
ici ). Les deux services doivent vraiment modifier le code source des pages Web, mais vous devez être prudent lorsque vous implémentez une telle fonctionnalité.
Un demi-million de sites vulnérables, 1700 magasins en ligne piratés
Foregenix a publié les résultats d'une étude sur la sécurité des sites Web (
actualités ,
article de blog d' entreprise). Sur près de neuf millions de sites surveillés régulièrement, selon Foregenix, environ un demi-million présente de graves vulnérabilités. Les critères spécifiques pour séparer les problèmes graves des problèmes non graves ne sont pas divulgués, mais il est indiqué que seuls ceux où des vulnérabilités connues avec une cote CVSS de plus de 7 points se trouvent dans la sélection des sites problématiques. Il n'est pas tout à fait clair comment même de telles vulnérabilités sont exploitées dans la pratique, mais il est parfois utile d'estimer une telle «température moyenne dans un hôpital».
Boutiques en ligne examinées séparément - sites où d'une manière ou d'une autre a mis en œuvre la réception des paiements des utilisateurs. Magento est reconnu comme la plateforme CMS la plus vulnérable pour les boutiques en ligne: 86,5% des sites qui y travaillent présentent de graves vulnérabilités. Sur les 1 700 sites où des scripts ont été découverts pour voler les informations de facturation des utilisateurs, environ un millier fonctionnent sur Magento, la plupart situés en Amérique du Nord. Selon la société qui mène l'étude, les sites Web attaqués découvrent une faille de sécurité en moyenne 5,5 mois après le piratage.
CMS Magento est devenu célèbre l'année dernière lorsque les cybercriminels du groupe Magecart ont commencé à
attaquer massivement les sites vulnérables en installant des scripts sur eux pour voler les données de paiement entrées par l'utilisateur lors du paiement. Un principe typique d'un tel skimmer était d'ouvrir une fausse fenêtre pour entrer un numéro de carte de crédit et d'autres informations. Une telle fenêtre était affichée au-dessus d'un formulaire légitime pour entrer des informations.
Une attaque à grande échelle en 2018 a exploité une vulnérabilité découverte et fermée en 2016. Hélas, de nombreux sites n'ont pas été mis à jour depuis deux ans, donc l'estimation de Foregenix (~ 1000 des 200 000 sites infectés utilisant Magento) est même conservatrice. En octobre dernier, le chercheur Willem de Grot, qui surveille Magecart, a dénombré 7 000 sites avec un skimmer installé.
En parlant d'anciennes vulnérabilités. Microsoft met en garde contre une nouvelle vague de spam de fichiers .RTF infectés qui exploitent une vulnérabilité dans Microsoft Office qui a été découverte et fermée en 2017. Le problème est
présent dans les versions de 2007 à 2016 et des correctifs ont été émis pour toutes les variantes. L'ouverture d'un document infecté dans une version vulnérable d'Office entraîne le téléchargement et l'installation d'une porte dérobée sur le système. N'oubliez pas de mettre à niveau.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.