全球最大的專注于安全的解決方案提供商check point以色列捷邦安全軟體科技有限公司 (nasdaq: chkp)日前披露了關于在facebook messenger線上和移動應用程式中發現的漏洞的詳細資訊。在check point披露之後,facebook迅速修複了漏洞。
該漏洞允許惡意使用者修改facebook online chat &messenger應用程式中的會話曆史。通過該漏洞,可修改或删除發送的任何消息、照片、檔案、連結等。漏洞在六月初向facebook安全小組全面披露。facebook立即響應,經過共同努力,漏洞被修複。
該漏洞有什麼潛在破壞?
利用該漏洞,可觸發多個潛在攻擊向量。facebook在全球日常活動中起重要作用,這些方案可能對使用者造成嚴重影響。許多使用者依賴facebook進行個人和業務相關通信,這使此類漏洞對攻擊者更具有吸引力。
惡意使用者可作為欺詐的一部分篡改曆史消息。惡意者會修改會話曆史,聲稱他已與受害者達成虛假一緻,或隻是修改其條款。
第二個場景是可能影響正在進行的法律調查。facebook聊天記錄已被允許在全球法庭上作為證據。攻擊者可能隐藏犯罪證據,甚至牽連無辜的人。
該漏洞可作為一種惡意軟體分發方式。攻擊者可将合法連結或檔案變成惡意的,并輕松說服使用者打開它。随後,攻擊者可利用這種方法來更新連結,以包含最新c&c(指令與控制)位址,更新釣魚方案。
全面技術分析
check point安全研究員roman zaikin發現了該漏洞。利用該漏洞,攻擊者可控制facebook聊天,并根據其需求調整消息,包括删除消息及替換文本、連結和檔案。
facebook聊天應用程式中的每條消息都有自己的辨別符“message_id”參數。在發起惡意企圖時,攻擊者可通過代理存儲該請求,包括辨別符。
下圖顯示向www.facebook.com/ajax/mercury/send_message.php發送的請求
圖1: 發送消息
攻擊者可向www.facebook.com/ajax/mercury/thread_info.php發送請求,以獲得“message_id”
圖2: 獲得message ids
一旦攻擊者發現message id,他就可修改消息内容,并發送到facebook伺服器。在内容修改時,不會向使用者pc或移動裝置推送任何消息。
poc – 利用漏洞發起勒索活動
利用facebook chat或messenger聊天,攻擊者可根據各種目的修改會話。在此我們将示範利用該漏洞分發勒索軟體的可能攻擊流程。
首先,攻擊者向潛在目标發送一條合法消息:
圖3: 合法聯系人
然後,攻擊者将修改消息,以包含感染連結或檔案。如下圖所示,消息“hi”變為“ransomware command and control roulette”(勒索軟體指令與控制輪盤賭)。
圖4: 修改消息
接下來,攻擊者可篡改同一攻擊向量,以克服今天的勒索軟體面臨的最大挑戰之一:保持指令與控制伺服器活躍。勒索軟體活動通常隻持續幾天。感染連結和c&c(指令與控制)位址被舉報後,安全廠商會攔截,迫使攻擊者停止他的活動,重新部署攻擊行動。
“利用該漏洞,網絡犯罪分子可在受害者不知情的情況下,修改連結,調整其攻擊活動”,check point産品漏洞研究主管oded vanunu說,“當指令與控制伺服器被替換時,惡意者可保持其發送的連結,或隻在修改消息時采取一定自動化。”
“我們稱贊facebook做出正确響應,并以專業方式處理安全問題。”
check point将繼續監查常用軟體和網際網路平台中的漏洞,披露發現的問題,警告并保護消費者和客戶免遭未來威脅攻擊。
本文轉自d1net(轉載)