icon_firefox[CVE-2016-2822] Addressbar spoofing though the SELECT element


Addressbar spoofing though the SELECT element


Announced: June 7, 2016
Reporter: Jordi Chancel
Impact: Moderate
Products: Firefox, Firefox ESR
Fixed in: Firefox 47, Firefox ESR 45.2

  • Description :

Security researcher Jordi Chancel reported a method to spoof the contents of the addressbar. This uses a persistent menu within a <select> element, which acts as a container for HTML content and can be placed in an arbitrary location.
When placed over the addressbar, this can mask the true site URL, allowing for spoofing by a malicious site.


  • Introduction :

Voici encore une vulnérabilité mélangeant ClickJacking et Location Bar Spoofing.
Dans mes recherches visant a vérifier la correction exhaustive d’une plus ancienne vulnérabilité que j’avais reportée sur le navigateur Web Mozilla Firefox (MFSA-2013-94), j’ai premièrement vérifié si cette vulnérabilité n’avait pas été malencontreusement réactivée, j’ai alors donc déterminé que le code source de la précédente preuve de concept ne permettait plus l’exploitation désiré qui avait donnée lieu cette précédente vulnérabilité, cependant la modification de l’élément <select> de l’encienne preuve de concept permettait une vulnérabilité tout à fait similaire.
Les modifications nécessaires à la mise en œuvre d’une nouvelle preuve de concept étaient d’utiliser plusieurs éléments <option> et d’y insérer l’image d’un indicateur de connexion sécurisé et l’URL d’un site ciblé permettant ainsi le Spoofing d’URL et d’indicateur SSL.

Cette nouvelle vulnérabilité tout comme la précédente sitée ci-dessus permet également de mener a bien des attaques de type ClickJacking sur l’affichage de multiple boites de dialogue, exemple: GeoLocation ; WebRTC (…) , permettant ainsi le vole de donnée concernant la géolocalisation de la personne piégée , prendre le contrôle de la webcam et du microphone de la personne piégée (et bien d’autres actions malveillantes) en incitant l’utilisateur a éffectuer un double-clique sur un bouton factice placé dans l’un des éléments <option> situé dans la même zone que le bouton de validation de la boite de dialogue q’un pirate informatique souhaiterait que l’utilisateur préalablement piégé par l’attaque d’usurpation d’URL et d’indicateur de certificat sécurisé presse sans s’en rendre compte (via le double-clique devant être effectué).

  • Explication :

1. Dans Mozilla Firefox, l’élément <select> peut contenir du code HTML et par conséquent contenir une image. il suffit donc de mettre en place l’image d’une fausse barre de location dans cet élément et définir que l’affichage de celui-ci se placera au dessus de la barre de location réelle.

concept en image :

 

2. Maintenant, voici quelques brèves explications supplémentaires portant sur la possibilité d’effectuer des attaques de type ClickJacking.
Comme démontré ci-dessus, l’élément <select> surplombe la réelle barre de location, il est donc aussi possible de couvrir l’affichage d’une demande d’activation de la webcam et du microphone ou encore la demande de géolocalisation et donc faire en sorte que celles-ci s’affiche de manière totalement invisible. Il ne reste plus qu’a inciter l’utilisateur a double cliquer sur l’élément <select> a l’emplacement ou se trouve le bouton de confirmation de la boite de dialogue caché. Pour être unpeu plus précis, le premier clique aura pour effet d’enlever l’affichage de l’élément <select> et par la suite cliquer sur le bouton de confirmation via le 2ème clique.

Concept en image :


Vulnerability demonstration (video):


Comments are closed.