Dziura w IE przyczyną ataku na Firefoksa

Kilka polskich serwisów poinformowało dzisiaj o “złodzieju danych” czy “fałszywej wtyczce” do Firefoksa. Nie napisały one jednak w ogóle, jak się przed tym zabezpieczyć, ani jak przebiega infekcja.

Jeśli ktoś przejrzy oryginalny raport McAffee  (podejrzewam, że osoby podpisane pod artykułami tego nie zrobiły, a jeśli, to bardzo pobieżnie), zauważy, że trojan FormSpy wykorzystuje do instalacji innego trojana – VBS/Psyme, który z kolei opiera się na dziurze w przeglądarce… Microsoft Internet Explorer. FormSpy jest dzięki tej dziurze instalowany jako rozszerzenie do Firefoksa. Równie dobrze mógłby się w ten sposób zainstalować szkodliwy plik *.exe, wtyczka do WinAmpa czy Konnekta, albo szkodliwy plugin NPAPI dla dowolnej przeglądarki.

Skoro wykorzystywana jest dziura w IE, aby się zabezpieczyć należy po prostu unikać Explorera i wszelkich programów na nim bazujących – a przynajmniej nie otwierać w IE odnośników prowadzących do nieznanych stron.

Jeśli w Firefoksie w Narzędzia > Rozszerzenia widzisz jakieś rozszerzenie określające się jako “Numbered Links”, a nie instalowałeś(-aś) prawdziwego Numbered Links, po prostu je odinstaluj. Ponieważ FormSpy idzie w parze z VBS/Psyme, konieczne jednak będzie także skorzystanie z programu antywirusowego, aby usunąć tego drugiego trojana.

Przypominam: nie jest to dziura w Firefoksie, jest to dziura w oprogramowaniu Microsoftu (IE/Windows).

28 responses to “Dziura w IE przyczyną ataku na Firefoksa

  1. Zwracam uwagę na to, że my w DI nie pisaliśmy nigdzie, że zaistniały problem wynika z dziur Fx.

    Nie ma jednak co się oszukiwać – ten szkodnik krazy po sieci i należy ludzi przed nim ostrzec. Mechanizm jest dla użytkownika mniej istotny niż informacja o zagrożeniu, dlatego priorytetem było poinformowanie o samym zagrożeniu.

    Pozdrawiam

  2. luo

    No nie wiem Marcin. Niedoinformowanie czytelników może wpłynąć na pogorszenie się opini o dobrej marce jaką jest Mozilla.

  3. Jest to tak zwana półprawda. Nie jest to nigdzie napisane, ale właśnie dlatego jest to odczuwane jako błąd FF.

    Pomyślałem ‘za ile godzin będzie dostępna łata’. Teraz wiem, że to będą miesiące :) (i że mnie ona nie dotyczy[1])

    [1] I tak mnie chyba nie dotyczy, bo korzystam tylko z gecko.

  4. @lou: OK. Można zarzucić tym newsom pominięcie szczegółów technicznych, ale też nie mówmy o jakimś “ataku na Firefoksa”.

    Nikt, a tym bardziej ja (uzytkownik Fx od początku i prywatnie fan open source), nie atakuje tu Firefoksa z premedytacją.

    Ale w sumie nie ma co się szczypać – uzpełnimy tego newsa ;-)

  5. OK Uzupełnilismy newsa w DI takim akapitem (moze nie najpiekniej, ale na szybkiego pisałem):

    Trojan FormSpy wykorzystuje do instalacji innego trojana – VBS/Psyme. Ten z kolei wykorzystuje usterkę w przeglądarce IE do zainstalowania się jako rozszerzenie Firefoksa. Działanie szkodliwego kodu nie opiera się więc o luki w przeglądarce Firefox.

  6. Hehe… też źle wyszło bo Psyme wykorzystuje lukę dla instalacji FormSpy…. ale na DI jest już OK :-D

  7. Pingback: .:Pixels not found:. » Jak IE zainfekuje ci Firefox’a

  8. A FF nie informuje o instalowaniu wtyczki? (Tzn. czy mozna to zrobic bez swiadomosci uzytkownika, np. proste przegranie pliku do odpowiedniego katalogu?)

  9. Tomick

    No właśnie… coś jest nie tak. Czy FF nie ma zabezpieczeń przed prostym dograniem do katalogu profilu dowolnego pliku?

  10. Pryszczers

    Muszą być jeszcze wpisy w install.rdf czy jakoś tak (było coś takiego w Fx 1.x nie wiem jak w 1.5) oraz w jakimś pliku jakieś czarodziejskie numerki rozszerzenia.
    Chyba najlepiej byłoby certyfikować rozszerzenia, a to niestety kosztuje.
    A gdyby zrobić coś takiego jak PGP? MoFo generowałaby klucze dla twórców rozszerzeń na zasadzie klucza publicznego, a program przed zainstalowaniem, aktualizacją odkodowałby rozszerzenie?

  11. Ad 8.

    Tak, tak samo jak pluginy w Operze, rozszerzenia można wrzucić do katalogu profilu. Nie ma tu istotnej różnicy.

  12. ad. 7 “Jednak w pogodni za sensacją, niektórzy naprędce pisząc tę informację, nie zgłębili sprawy, a wyjąśnienie w rzeczowej formie pojawiło się na marcoos.techblog.”

    Jaka pogoń za sensacją? Wybaczcie panowie, ale trojan to w dzisiejszym świecie żadna sensacja. Ba! Nawet gdyby to była luka w Fx, to też by nie była sensacja. Tego typu news będzie miał srednią poczytność. Sa bardziej sensacyjne rzeczy.

  13. Ad 12.

    Komentarz #7 to był trackback z innego bloga, może lepiej skomentuj tam. :)

  14. IDG podchwyciło temat i znowu nieco przekręciło sprawę. W ogóle nie wspominają że trojan instaluje się przez dziurę w IE.
    http://www.idg.pl/news/96820.html

  15. Zastanawiam sie czy nie mozna przynajmniej utrudnic zycia autorom takich trojanow.

    Problem polega na tym, ze kiedy Fx jest wylaczony, dowolny inny program moze zmodyfikowac dowolne elementy systemu, wszystkie rejestry i wtyczki Gecko. Czyli jesli chcielibysmy wyswietlic ostrzezenie uzytkownikowi, ze kiedy mial Fx-a wylacznego zostalo cos zainstalowane, musielibysmy miec jakas flage typu “czyDaneRozszerzenieZostaloZainstalowaneZaZgodaUsera”==true/false. Ale wowczas ten trojan moze po prostu zmienic tez wartosc tej flagi.

    Co moglibysmy zrobic, to skomplikowac wykrycie tej flagi – schowac ja w losowym rejestrze, powiazac z innymi zmiennymi i prezentowac sume kontrolna?
    Nie byloby to oczywiscie nadal skuteczne, zawsze mozna to obejsc, ale mogloby utrudnic. Pytanie czy warto poswiecac czas na nieskuteczne zabezpieczenie…

  16. “Istnień nie należy mnożyć ponad potrzebę”, proste rozwiązania są najlepsze.
    Dlatego ja myślałbym raczej o instalowaniu rozszerzeń na hasło. Hashowanie to chyba wystarczające zabezpieczenie…

  17. gnom

    Zabezpieczenie ma chronić userów nieświadomych, bo inni tej ochrony nie potrzebują – mają kontrolę nad przeglądarką i wiedzą, co w niej siedzi. Podobnie, jak w systemie.

    A trzeba będzie uwzględnić możliwość wyłączenia instalacji na hasło, bo sie zaraz krzyk podniesie, ze traktujecie userów jak idiotów.

    Czyli taki przeciętny Jaś “odptaszy” je natychmiast jako niewygodne i po zabezpieczeniu.

  18. Nie używam Firefoxa, jestem zwolennikiem Opery, wiadomo. Ale artykuł na IDG mnie wygiął na lewo całkiem pokaźnie. Zwykły bezczel i atak na Firefoxa, bez uwzględnienia, iż trojan instaluje się tylko i wyłącznie przez dziurę w IE…

  19. gnom

    Bez przesady. Napisano przecież, że komputer musi być wcześniej zainfekowany i to trojan pobiera tę francę. Ja tam ataku na FXa nie widzę. Może tylko zabrakło kopniaka dla IE :D

  20. luo

    Właśnie na TVN24 skończyli mówić o “niebezpiecznej dziurze w Mozilli Fx, a analitycy z mcafee ostrzegają…”. Padło hasło “umożliwia wyciągnięcie numerów bankowych”… uuuuu. Kto im wyśle sprostowanie?

  21. przemas

    W Pulsie Biznesu właśnie podali to co luo napisał. Ehh zamiast zasięgnąć informacji to powielaja niesprawdzone brednie.

  22. Pryszczers

    Na planecie pojawił się fajny news, z którego poza trojanem nic nie wynika :)
    http://tinyurl.com/hl5hh

  23. radek.kaba

    http://wiki.mozilla.org/Extension_Blocklisting – przecież odpowiedni mechanizm już powstaje… i to od dawna. A właściwie brakuje chyba tylko części po stronie serwera.

    Jeżeli ten mechanizm zostanie uruchomiony w Firefoksie 2.0 i zostanie wykryte jakiekolwiek zagrożenie ze strony jakiegoś rozszerzenia i znajdzie się ono na “czarnej liście”, to automatycznie w każdym Firefoksie, w którym się ono znajdzie, zostanie zablokowane…

  24. yak

    @ radek.kaba

    Nie do konca. Ze strony ktora podales…

    […]The blocklist is not a front line defense against malicious extensions and is not in scope for this implementation since once an extension is installed it would be able to disable the blocklist. Methods for making it more difficult to disable the blocklist from an extension will be considered and implemented when it makes sense to do so.[…]

    Chyba nadszedl ten moment…

  25. gandalf: (ad #15) najprostsze wydało mi się takie:
    1. podczas pierwszego uruchomienia generuje się para kluczy prywatny/publiczny, użytkownik jest proszony o hasło do zabezpieczenia klucza prywatnego
    2. podczas instalacji rozszerzenia należy odblokować klucz prywatny
    3. rejestr zainstalowanych roszerzeń jest podpisany kluczem prywatnym
    4. podczas każdego startu można zweryfikować listę zainstalowanych rozszerzeń.

    Jeśli jakiś program zmodyfikuje listę i podmieni również klucz publiczny lub uszkodzi klucz prywatny, użytkownik dowie się o tym przy próbie instalacji nowego rozszerzenia (lub po prostu przy odblokowywaniu klucza prywatnego).

    Wiem! Nie jest to rozwiązanie dla ZU ;-)

  26. luo

    [ot]Firefox ma ponad 22 proc. udział w rynku, przy ponad 80 proc. IE, stąd zagrożenie FormSpy zostało ocenione jako “średnie”. [/ot]
    http://www.webinside.pl/news/2470

    I jak tu się domagać rzetelności? ;-)

  27. radek.kaba

    @luo, wszystko się zgadza ;)
    jeżeli ktoś jednocześnie używa IE i Firefoxsa i Opery – to suma musi wyść powyżej 100% :D

  28. IDG zaktualizowało swój artykuł o twoją wypowiedź.

    Teraz CHIP ma u siebie podobnego babola:
    http://newsroom.chip.pl/news_174549.html?rss

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

MDN

Better JavaScript docs for a better Web on MDN

Archiwum

%d bloggers like this: