CTI论坛(ctiforum)6月14日消息(记者 李文杰):全球最大的专注于安全的解决方案提供商Check Point以色列捷邦安全软件科技有限公司(NASDAQ:CHKP)日前披露了关于在Facebook Messenger在线和移动应用程序中发现的漏洞的详细信息。在Check Point披露之后,Facebook迅速修复了漏洞。
该漏洞允许恶意用户修改Facebook Online Chat&Messenger应用程序中的会话历史。通过该漏洞,可修改或删除发送的任何消息、照片、文件、链接等。漏洞在六月初向Facebook安全小组全面披露。Facebook立即响应,经过共同努力,漏洞被修复。
该漏洞有什么潜在破坏?
- 利用该漏洞,可触发多个潜在攻击向量。Facebook在全球日常活动中起重要作用,这些方案可能对用户造成严重影响。许多用户依赖Facebook进行个人和业务相关通信,这使此类漏洞对攻击者更具有吸引力。
- 恶意用户可作为欺诈的一部分篡改历史消息。恶意者会修改会话历史,声称他已与受害者达成虚假一致,或只是修改其条款。
- 第二个场景是可能影响正在进行的法律调查。Facebook聊天记录已被允许在全球法庭上作为证据。攻击者可能隐藏犯罪证据,甚至牵连无辜的人。
- 该漏洞可作为一种恶意软件分发方式。攻击者可将合法链接或文件变成恶意的,并轻松说服用户打开它。随后,攻击者可利用这种方法来更新链接,以包含最新C&C(命令与控制)地址,更新钓鱼方案。
全面技术分析
Check Point安全研究员Roman Zaikin发现了该漏洞。利用该漏洞,攻击者可控制Facebook聊天,并根据其需求调整消息,包括删除消息及替换文本、链接和文件。
Facebook聊天应用程序中的每条消息都有自己的标识符“message_id”参数。在发起恶意企图时,攻击者可通过代理存储该请求,包括标识符。
下图显示向www.facebook.com/ajax/mercury/send_message.php发送的请求
图1:发送消息
攻击者可向www.facebook.com/ajax/mercury/thread_info.php发送请求,以获得“message_id”
图2:获得Message IDs
一旦攻击者发现message ID,他就可修改消息内容,并发送到Facebook服务器。在内容修改时,不会向用户PC或移动设备推送任何消息。
POC-利用漏洞发起勒索活动
利用Facebook Chat或Messenger聊天,攻击者可根据各种目的修改会话。在此我们将演示利用该漏洞分发勒索软件的可能攻击流程。
首先,攻击者向潜在目标发送一条合法消息:
图3:合法联系人
然后,攻击者将修改消息,以包含感染链接或文件。如下图所示,消息“Hi”变为“RANSOMWARE COMMAND AND CONTROL ROULETTE”(勒索软件命令与控制轮盘赌)。
图4:修改消息
接下来,攻击者可篡改同一攻击向量,以克服今天的勒索软件面临的最大挑战之一:保持命令与控制服务器活跃。勒索软件活动通常只持续几天。感染链接和C&C(命令与控制)地址被举报后,安全厂商会拦截,迫使攻击者停止他的活动,重新部署攻击行动。
“利用该漏洞,网络犯罪分子可在受害者不知情的情况下,修改链接,调整其攻击活动”,Check Point产品漏洞研究主管Oded Vanunu说,“当命令与控制服务器被替换时,恶意者可保持其发送的链接,或只在修改消息时采取一定自动化。”
“我们称赞Facebook做出正确响应,并以专业方式处理安全问题。”
Check Point将继续监查常用软件和互联网平台中的漏洞,披露发现的问题,警告并保护消费者和客户免遭未来威胁攻击。
Check Point以色列捷邦安全软件科技有限公司
Check Point以色列捷邦安全软件科技有限公司(www.checkpoint.com.cn)是全球最大的专注于安全的解决方案提供商,为各界客户提供业界领先的解决方案抵御恶意软件和各种威胁。Check Point提供全方位的安全解决方案包括从企业网络到移动设备的安全保护,以及最全面和可视化的安全管理方案。Check Point现为十多万不同规模的组织提供安全保护。Check Point竭力为您“全护航筑未来”。
