Os especialistas do Guardio descobriram (
notícias ,
pesquisas ) uma vulnerabilidade interessante no Evernote. Mais precisamente, não no aplicativo para armazenar anotações, mas na extensão do navegador Google Chrome. O Evernote Web Clipper permite salvar páginas da Web, no todo ou em parte, e também pode adicionar comentários sobre o conteúdo original.
Essa funcionalidade bastante ampla levou à necessidade de incorporar código em todas as páginas visitadas pelo usuário, se ele tiver a extensão Evernote instalada. Inicialmente, um pequeno script fornece carregamento adicional de código se o usuário decidir salvar a página. Como se viu, esse próprio carregamento do código não foi realmente verificado, o que teoricamente permitiu ao invasor receber dados de usuários particulares de outros recursos; foi o suficiente para abrir a página preparada. Felizmente, a ameaça permaneceu teórica: o problema foi encerrado, não foram encontradas evidências de seu uso em ataques reais.
A página atacante, além do conteúdo visível, inclui vários quadros ocultos que acessam sites com dados privados (como mostrado no vídeo acima, são páginas do Facebook e do PayPal). A extensão do Evernote adicionará seu próprio script ao código dessa página, responsável por carregar ainda mais o código em todos os quadros. O problema é que a fonte do código não é verificada corretamente e pode ser substituída pelo código do invasor.
A intervenção do usuário (por exemplo, a ativação de qualquer função de extensão) não é necessária. Basta abrir a página modificada e as informações dos elementos iframe ocultos começarão a ser transmitidas ao invasor. É assim que uma versão específica do Proof of Concept funciona; outras opções são possíveis. A vulnerabilidade se assemelha a um
problema descoberto e fechado no ano passado na extensão do Grammarly, um serviço de verificação ortográfica. Nesse caso, os tokens de autorização gramatical estavam disponíveis para qualquer outro site, para que qualquer pessoa pudesse efetuar login no serviço e obter acesso às informações do usuário (mais sobre esta vulnerabilidade
aqui ). Ambos os serviços realmente precisam modificar o código fonte das páginas da Web, mas você deve ter cuidado ao implementar essa funcionalidade.
Meio milhão de sites vulneráveis, 1700 lojas on-line invadidas
A Foregenix publicou os resultados de um estudo de segurança do site (
notícias ,
publicação no blog da empresa). Dos quase nove milhões de sites monitorados regularmente, segundo a Foregenix, cerca de meio milhão tem sérias vulnerabilidades. Os critérios específicos para separar problemas sérios de problemas não sérios não são divulgados, mas é indicado que apenas aqueles onde vulnerabilidades conhecidas com uma classificação CVSS de mais de 7 pontos são encontrados na seleção de sites problemáticos. Não está totalmente claro como essas vulnerabilidades são exploradas na prática, mas às vezes é útil estimar essa "temperatura média em um hospital".
Lojas on-line investigadas separadamente - sites em que de uma maneira ou de outra implementavam a recepção de pagamentos dos usuários. O Magento é reconhecido como a plataforma CMS mais vulnerável para lojas online: 86,5% dos sites que trabalham nele têm sérias vulnerabilidades. Dos 1.700 sites onde foram descobertos scripts para roubar informações de cobrança dos usuários, cerca de mil trabalhos no Magento, a maioria deles localizada na América do Norte. Segundo a empresa que conduz o estudo, os sites atacados descobrem uma brecha na segurança em média 5,5 meses após a invasão.
O CMS Magento tornou-se notório no ano passado, quando os cibercriminosos do grupo Magecart começaram a
atacar sites vulneráveis em
massa instalando scripts neles para roubar os dados de pagamento inseridos pelo usuário no momento do pagamento. Um princípio típico desse skimmer era abrir uma janela falsa para inserir o número do cartão de crédito e outras informações. Essa janela era exibida no topo de um formulário legítimo para inserir informações.
Um ataque em larga escala em 2018 explorou uma vulnerabilidade que foi descoberta e fechada em 2016. Infelizmente, muitos sites não foram atualizados em dois anos, então a estimativa do Foregenix (~ 1000 dos 200 mil sites infectados usando o Magento) é ainda conservadora. Em outubro passado, o pesquisador Willem de Grot, que monitora o Magecart, contou 7 mil sites com um skimmer instalado.
Falando em vulnerabilidades antigas. A Microsoft alerta para uma nova onda de spam de arquivos .RTF infectados que exploram uma vulnerabilidade no Microsoft Office que foi descoberta e fechada em 2017. O problema está
presente nas versões de 2007 a 2016 e os patches foram emitidos para todas as variantes. A abertura de um documento infectado em uma versão vulnerável do Office resulta em um backdoor sendo baixado e instalado no sistema. Não se esqueça de atualizar.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.