Caçadores de ameaças revelaram uma nova "classe de vulnerabilidade baseada em tempo difundida" que explora uma sequência de duplo clique para facilitar ataques de clickjacking e a tomada de contas em quase todos os principais sites.
A técnica foi apelidada de DoubleClickjacking pelo pesquisador de segurança Paulos Yibelo.
"Ao invés de se apoiar em um único clique, ela tira proveito de uma sequência de duplo clique," disse Yibelo.
Embora possa parecer uma pequena mudança, ela abre a porta para novos ataques de manipulação de UI que burlam todas as proteções contra clickjacking conhecidas, incluindo o cabeçalho X-Frame-Options ou um cookie SameSite: Lax/Strict.
Clickjacking, também chamado de "UI redressing", refere-se a uma técnica de ataque na qual os usuários são enganados para clicar em um elemento aparentemente inócuo de uma página web (por exemplo, um botão), levando à implantação de malware ou exfiltração de dados sensíveis.
DoubleClickjacking é uma variação desse tema que explora a lacuna entre o início de um clique e o final do segundo clique para burlar controles de segurança e realizar a tomada de contas com interação mínima.
Especificamente, envolve os seguintes passos:
O usuário visita um site controlado pelo atacante que abre uma nova janela (ou aba) do navegador sem qualquer interação do usuário ou ao clique de um botão.
A nova janela, que pode imitar algo inocente como uma verificação CAPTCHA, solicita ao usuário para dar um duplo clique para completar a etapa.
Enquanto o duplo clique está em curso, o site pai utiliza o objeto JavaScript Window Location para redirecionar secretamente para uma página maliciosa (por exemplo, aprovando uma aplicação OAuth maliciosa).
Ao mesmo tempo, a janela superior é fechada, permitindo que um usuário, sem saber, conceda acesso aprovando o diálogo de confirmação de permissão.
"A maioria dos aplicativos web e frameworks assume que apenas um clique forçado é um risco," disse Yibelo.
DoubleClickjacking adiciona uma camada que muitas defesas nunca foram projetadas para lidar.
Métodos como X-Frame-Options, cookies SameSite, ou CSP não podem defender contra este ataque.
Os proprietários de sites podem eliminar a classe de vulnerabilidade usando uma abordagem do lado do cliente que desativa botões críticos por padrão, a menos que um gesto do mouse ou pressionamento de tecla seja detectado.
Serviços como o Dropbox já empregam tais medidas preventivas, conforme foi descoberto.
Como soluções de longo prazo, é recomendado que os fornecedores de navegadores adotem novos padrões semelhantes ao X-Frame-Options para se defenderem contra a exploração de duplo clique.
"DoubleClickjacking é uma variação em uma classe de ataque bem conhecida," disse Yibelo.
Explorando o timing do evento entre cliques, os atacantes podem trocar sem alarde elementos de UI benignos por sensíveis num piscar de olhos.
A divulgação chega quase um ano após o pesquisador também demonstrar outra variante de clickjacking chamada falsificação entre janelas (conhecida como gesture-jacking) que se baseia em persuadir a vítima a pressionar ou segurar a tecla Enter ou a barra de espaço em um site controlado pelo atacante para iniciar uma ação maliciosa.
Em sites como Coinbase e Yahoo!, isso poderia ser abusado para conseguir uma tomada de conta "se uma vítima que está logada em qualquer um dos sites vai a um site de atacante e segura a tecla Enter/Space."
Isso é possível porque ambos os sites permitem que um potencial atacante crie uma aplicação OAuth com amplo alcance para acessar sua API, e eles ambos definem um valor de 'ID' estático e/ou previsível para o botão 'Permitir/Autorizar' que é usado para autorizar a aplicação na conta da vítima.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...