Lỗ hổng "DoubleClickjacking" mới vượt qua các biện pháp bảo vệ Clickjacking trên các trang web lớn

Các chuyên gia bảo mật đã tiết lộ một "lớp lỗ hổng dựa trên thời gian phổ biến" mới tận dụng chuỗi nhấp đúp để tạo điều kiện cho các cuộc tấn công clickjacking và chiếm đoạt tài khoản ở hầu hết các trang web lớn.

Kỹ thuật này được nhà nghiên cứu bảo mật Paulos Yibelo đặt tên mã là DoubleClickjacking.

"Thay vì chỉ dựa vào một cú nhấp chuột, nó tận dụng chuỗi nhấp đúp", Yibelo cho biết. "Mặc dù nghe có vẻ như là một thay đổi nhỏ, nhưng nó mở ra cánh cửa cho các cuộc tấn công thao túng giao diện người dùng mới vượt qua mọi biện pháp bảo vệ clickjacking đã biết, bao gồm tiêu đề X-Frame-Options hoặc cookie SameSite: Lax/Strict".

Clickjacking, còn được gọi là UI redressing, đề cập đến một kỹ thuật tấn công trong đó người dùng bị lừa nhấp vào một thành phần trang web có vẻ vô hại (ví dụ: nút), dẫn đến việc triển khai phần mềm độc hại hoặc đánh cắp dữ liệu nhạy cảm.

DoubleClickjacking là một biến thể của chủ đề này, khai thác khoảng cách giữa thời điểm bắt đầu nhấp và thời điểm kết thúc nhấp lần thứ hai để bỏ qua các biện pháp kiểm soát bảo mật và chiếm đoạt tài khoản với tương tác tối thiểu.

Cụ thể, nó bao gồm các bước sau -

Người dùng truy cập vào một trang web do kẻ tấn công kiểm soát, trang web này mở một cửa sổ trình duyệt mới (hoặc tab) mà không cần bất kỳ tương tác nào của người dùng hoặc chỉ cần nhấp vào một nút.

Cửa sổ mới, có thể bắt chước một thứ gì đó vô hại như xác minh CAPTCHA, sẽ nhắc người dùng nhấp đúp để hoàn tất bước này.

Khi nhấp đúp đang diễn ra, trang web mẹ sẽ sử dụng đối tượng Vị trí cửa sổ JavaScript để chuyển hướng lén lút đến một trang độc hại (ví dụ: chấp thuận ứng dụng OAuth độc hại)

Đồng thời, cửa sổ trên cùng sẽ đóng lại, cho phép người dùng vô tình cấp quyền truy cập bằng cách chấp thuận hộp thoại xác nhận quyền trên trang web mẹ.

"Hầu hết các ứng dụng web và khuôn khổ đều cho rằng chỉ cần một lần nhấp bắt buộc là có rủi ro", Yibelo cho biết. "DoubleClickjacking thêm một lớp mà nhiều biện pháp phòng thủ chưa từng được thiết kế để xử lý. Các phương pháp như X-Frame-Options, cookie SameSite hoặc CSP không thể chống lại cuộc tấn công này."

Chủ sở hữu trang web có thể loại bỏ lớp lỗ hổng bằng cách sử dụng phương pháp tiếp cận phía máy khách, vô hiệu hóa các nút quan trọng theo mặc định trừ khi phát hiện thấy cử chỉ chuột hoặc nhấn phím. Các dịch vụ như Dropbox đã sử dụng các biện pháp phòng ngừa như vậy, người ta đã phát hiện ra.

Là giải pháp lâu dài, nên khuyến nghị các nhà cung cấp trình duyệt áp dụng các tiêu chuẩn mới tương tự như X-Frame-Options để chống lại việc khai thác nhấp đúp.

"DoubleClickjacking là một biến thể của lớp tấn công nổi tiếng", Yibelo cho biết. "Bằng cách khai thác thời gian sự kiện giữa các lần nhấp, kẻ tấn công có thể hoán đổi liền mạch các thành phần UI vô hại thành các thành phần nhạy cảm chỉ trong chớp mắt".

Việc tiết lộ này được đưa ra gần một năm sau khi nhà nghiên cứu cũng chứng minh một biến thể clickjacking khác được gọi là giả mạo cửa sổ chéo (hay còn gọi là gesture-jacking) dựa vào việc thuyết phục nạn nhân nhấn hoặc giữ phím Enter hoặc phím cách trên trang web do kẻ tấn công kiểm soát để bắt đầu hành động độc hại.

Trên các trang web như Coinbase và Yahoo!, nó có thể bị lạm dụng để chiếm đoạt tài khoản "nếu nạn nhân đã đăng nhập vào một trong hai trang web đó truy cập vào trang web của kẻ tấn công và giữ phím Enter/Space".

"Điều này có thể xảy ra vì cả hai trang web đều cho phép kẻ tấn công tiềm năng tạo ứng dụng OAuth có phạm vi rộng để truy cập API của chúng và cả hai đều đặt giá trị 'ID' tĩnh và/hoặc có thể dự đoán được cho nút 'Cho phép/Ủy quyền' được sử dụng để ủy quyền ứng dụng vào tài khoản của nạn nhân".

Hương – Theo TheHackerNews