Firefox 17 0day via Freedom Hosting

    Как уже отмечалось в предыдущем посте, посвященном аресту основателя Freedom Hosting, некоторые веб-сайты доменов .onion (Tor-домены), располагающиеся на хостинге у «Freedom Hosting» подверглись атаке. Речь идет о компрометации ПО веб-серверов, которые внедряют специальный IFRAME к веб-страницам. После открытия такой страницы и активации IFRAME, пользователь перенаправляется на набор эксплойтов, где ему доставляется специальный JavaScript (heap spraying exploit), эксплуатирующий незакрытую уязвимость в браузере Mozilla Firefox версии 17 (которая является актуальной для Tor Browser Bundle). Вредоносный скрипт описан здесь.



    https://blog.torproject.org/blog/hidden-services-current-events-and-freedom-hosting

    The person, or persons, who run Freedom Hosting are in no way affiliated or connected to The Tor Project, Inc., the organization coordinating the development of the Tor software and research. In the past, adversarial organizations have skipped trying to break Tor hidden services and instead attacked the software running at the server behind the dot onion address. Exploits for PHP, Apache, MySQL, and other software are far more common than exploits for Tor. The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user's computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based. We're investigating these bugs and will fix them if we can.




    Для связи IFRAME с веб-страницей набора эксплойтов используется специальный UUID, который присваивается «клиенту», которому был отправлен IFRAME.



    Следует отметить, что после совершенного рейда на серверы «Freedom Hosting», ФБР оставили сайты с контентом для педофилов в рабочем режиме, чтобы идентифицировать как можно больше его пользователей. Несмотря на то, что подобные ресурсы используют .onion домены (т. е.домены сети Tor и их физическое расположение установить очень трудно), специалисты вычислили расположение серверов хостинговой компании. В js-эксплойте были найдены артефакты, подтверждающие использование серверов ФБР в этой атаке.



    http://arstechnica.com/tech-policy/2013/08/alleged-tor-hidden-service-operator-busted-for-child-porn-distribution/

    UPD: комментарий Mozilla.
    https://blog.mozilla.org/security/2013/08/04/investigating-security-vulnerability-report/comment-page-1/#comment-111200

    Although the vulnerability affects users of Firefox 21 and below the exploit targets only ESR-17 users. Since this attack was found on Tor hidden services presumably that is because the Tor Browser Bundle (TBB) is based on Firefox ESR-17. Users running the most recent TBB have all the fixes that were applied to Firefox ESR 17.0.7 and were also not at risk from this attack.


    ESET NOD32
    0,00
    Компания
    Поделиться публикацией

    Комментарии 13

      +6
      домены сети Tor и их физическое расположение установить очень трудно

      зато при выполнении условия:
      Речь идет о компрометации ПО веб-серверов

      становится значительно легче.

      Компрометация скрытого сервера — одна из угроз, реализация которой ведет к раскрытию и отдельно упомянута в мануале.
        –5
        [скриншот Твиттера]
        Четвёртого августа словосочетание «Firefox 17 0day» кажется отчасти оксюмороном. На дворе-то давно уж Firefox 22 — который, как я понимаю, этой дыры не содержит.

        Или содержит?

        Кроме того, Firefox 17 — это выпуск ESR, он должен пользоваться усиленною поддержкою Фонда Мозиллы. Большею, чем остальные прежние версии.

        Нешто Фонд Мозиллы облажался?
          +2
          Мицгол, вы как всегда: каменты пиши @ статью не читай

          Mozilla Firefox версии 17 (которая является актуальной для Tor Browser Bundle)
            +1
            Взаимоисключающие параграфы в одном комментарии?

            Эта уязвимость критична именно потому, что FF17 является ESR и поддерживается не смотря на то, что есть уже FF22.
            Был бы он не ESR — уязвимости в прошлогодней версии никого бы и не волновали.
              0
              Мне больше интересно, насколько юридически законны действия ФБР по использованию 0day-эксплоитов. Несмотря на все благородные цели — публикация 0day эксплоита ставит под угрозу огромную часть пользователей интернета, чьи убытки от этого наверняка в сумме перекроют весь бюджет подофильского бизнеса. Не всё конечно так страшно, но такие действия от государственных органах заставляют задуматься.
                0
                Статья «желтит». Это либо не 0day, либо не только для FF 17. Сам сижу на ESR версиях FF, сейчас текущая 17.0.7. В нее интегрированы все те же исправления безопасности, как и в FF 22.

                В последней версии tor borwser bundle, сейчас посмотрел, используется так же FF 17.0.7. Возможно конечно имеется в виду, что раз скачанный tor browser bundle не обновляется (моё предположение, не проверял), поэтому народ мог что-то подцепить при использовании версий < 17.0.7, но в любом случае — это тогда не 0day.

                В общем остаются следующие конкретные вопросы:
                1) Как именно версии в линейке 17.0.0 — 17.0.7 уязвимы?
                2) Уязвима ли соответствующая версия из не ESR линейки?
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                Это конец. На Freedom Hosting хостились практически все сайты Tor-а, кроме крупнейших вроде TorMail, Black Market Reloaded, Silk Road и The Hidden Wiki. Впрочем, атака на пользователей идет уже давно, пару раз всплывала куча данных с TorMail, но думаю, таким грязным историям не место на Хабре.
                  0
                  TorMail как раз там и был.
                    0
                    Не-а, FH не позволял работать с IMAP/POP3/SMTP. Там вообще были запрещены какие-либо исходящие подключения, что вполне разумно с их стороны.
                    0
                    Moжно по-подробнее о TorMail? Какие данные и когда всплывали?
                      0
                      В последний раз примерно год назад, несколько сотен логинов/паролей. Еще как-то раз, по-моему, на HackBB продавали логи почты гигабайт на 10. Оно и не удивительно, когда на достаточно крупных сайтах есть SQLi.
                    0
                    Правильно ли я понял, что для OS X конкретно этот случай безопасен?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое