image

Hackers verstoppen iFrames op nieuwe manier

donderdag 29 oktober 2009, 13:44 door Redactie, 2 reacties

JavaScript en iFrames zijn de voornaamste manieren waarop hackers malware op gehackte websites verstoppen, maar ook de ontwikkeling van iFrames staat niet stil. De onzichtbare iFrames laden stilletjes de exploits van de kwaadaardige site waar ze naar toe linken, zonder dat bezoekers van de legitieme website iets door hebben. IFrames maken het mogelijk om content van andere websites te laden, zonder dat bezoekers hiervoor de website met het iFrame hoeven te verlaten. De voornaamste reden voor het gebruik van de technologie is bijvoorbeeld voor het tonen van advertenties, zoals Google Adsense.

Flikkering
IFrames hebben normaal een bepaalde afmeting, maar het is ook mogelijk een afmeting van nul op te geven. In het begin gebruikten aanvallers deze mogelijkheid, waardoor beveiligers hier bewust naar zochten. De volgende stap van de aanvallers was het gebruik van amper zichtbare iFrames, die slechts een paar pixels in beslag nemen, of het gebruik van de “visibility: hidden” functie, die het iFrame niet in de browser toont, maar wel de content laadt. Een maand geleden begonnen aanvallers met het gebruik van iFrames die geen enkele code bevatten om onzichtbaar te zijn.

Toch worden de iFrames niet in de browser getoond. "De truc was het plaatsen van een zichtbaar iFrame binnen een onzichtbare div", zegt beveiligingsonderzoeker Denis Sinegubko. Inmiddels wordt al een nieuwe tactiek toegepast, waarbij aanvallers iFrames injecteren die beide src-parameters als dimensie- en stijlparameters missen die vertellen waar de pagina vandaan geladen moet worden. Die worden vervolgens middels een onload-event met JavaScript toegevoegd, waardoor er kort iets op het beeld flikkert. "Op deze manier verbergen hackers hun iFrames voor scanners die naar verborgen iFrames of iFrames van onbetrouwbare bronnen zoeken."

Update: Tekst met dank aan lezer aangepast

Reacties (2)
29-10-2009, 14:47 door Anoniem
Toch maar naar Firefox in combinatie met NoScript overstappen dus:)
En natuurlijk NoScript zo instellen dat IFRAMES standaard geblokkeerd worden;)
29-10-2009, 15:17 door Anoniem
Dit is geen nieuwe manier, het is slechts een populairdere manier aan het worden doordat andere manieren minder effect hebben. Aanvallers kiezen gewoonlijk de weg van de minste weerstand en onder het arsenaal vallen alle mogelijke manieren waarop iframes toegepast kunnen worden. De toepassing zijn steeds gevolg van gebruik van bewust bestaande functionaliteit van het toepassen van iframes danwel het gebruik maken van de fouten waarbij ontwikkelaars het vertikken protocol na te laten leven in een applicatie.

Het enige wat dit artikel weer laat zien is dat beveiligers teveel in hokjes denken en achter de feiten aanhobbelen met tegenmaatregelen zonder het geheel eerst te willen overzien. Bij bugs in specifieke applicaties loop je standaard achter de feiten aan om die te mitigeren, zo ook weer hier.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.