Zeroday-lek in Opera maakt uitvoeren van malafide bestanden mogelijk
Een zeroday-lek is ontdekt in de webbrowser Opera. De kwetsbaarheid geeft aanvallers de mogelijkheid malafide bestanden uit te voeren op zowel Windows- als macOS-systemen. Dit is mogelijk via een daarvoor geprepareerde thirdy-party browserextensie.
Dit blijkt uit onderzoek van Guardio Labs, dat de kwetsbaarheid 'MyFlaw' noemt. Het lek houdt verband met My Flow, een functionaliteit van Opera voor het synchroniseren van notities en bestanden tussen mobiele apparaten en desktopsystemen. Gebruikers scannen hierbij een QR-code, waarna zij een chat-achtige interface gepresenteerd krijgen voor het delen van content. De functionaliteit voegt hierbij een 'OPEN' link toe aan ieder bericht dat is voorzien van een bijlage. Dit geeft gebruikers de mogelijkheid het bestand direct vanuit de webinterface te openen. De functionaliteit omzeilt hierbij de gebruikelijke beperkingen van de browser en draait bestanden bijvoorbeeld niet in een sandbox. Dit brengt beveiligingsrisico's met zich mee, waarschuwt Guardio Labs.
Zo maakt de functie gebruik van een extensie genaamd 'Opera Touch Background'. Deze extensie blijkt zeer brede permissies te hebben. Wel zijn aanvullende securitymechanismen ingebouwd om aanvallen tegen te gaan. Een van deze mechanismen bepaalt dat alleen web resources van specifieke domeinen kunnen communiceren met de onderliggende extensie. Guardio Labs ontdekte echter verschillende verouderde versies van My Flow landingspages, die nog altijd beschikbaar waren. Op sommige van deze landingpages ontbraken de securitymechanismen. "Dit is precies wat een aanvaller nodig heeft - een onveilige en vergeten asset die kwetsbaar is voor code-injectie, en bovenal - die toegang met (zeer) hoge permissie toegang heeft tot de native browser API", schrijft Guardio Labs.
De onderzoekers zijn erin geslaagd een Proof of Concept-extensie te ontwikkelen voor het downloaden en uitvoeren van een bestand op het systeem van een slachtoffer. Deze extensie creëert een vals apparaat voor het genereren van een QR-code, die vervolgens wordt gebruikt om te pairen met de webbrowser. Vervolgens simuleert de extensie een bestandsoverdracht voor het afleveren van een malafide payload naar de webbrowser van het slachtoffer. De aanval vereist interactie met een gebruiker, bijvoorbeeld via social engineering.
De kwetsbaarheid is inmiddels grotendeels verholpen door het team van Opera. Problematische en onveilige assets die door het lek op de servers van Opera terecht zijn gekomen zijn inmiddels verwijderd. Guardio Labs zegt geen aanwijzingen te hebben dat het lek door kwaadwillenden is uitgebuit.
Guardio Labs legt het uit: Opera is gebaseerd op Chrome, en Chrome biedt de mogelijkheid voor ingebouwde extensies, die een browsermaker als vast onderdeel van de browser meelevert. Opera heeft dat mechanisme gebruikt om deze functie toe te voegen aan de browser.
Dit mechanisme voor ingebouwde extensies maakt het mogelijk om uit de sandbox te treden. Opera heeft daartegen beveiligd door de extensie alleen vanuit "https://*.flow.opera.com/*" en "https://*.flow.op-test.net/*" benaderbaar te laten zijn. De fout die ze vervolgens maakten is om onder flow.opera.com een oude versie van de flow-webpagina te laten rondslingeren die een kwetsbaarheid bevatte.
Opera heeft hier dus een functie aan de browser toegevoegd die, zeer gevaarlijk, een uitweg uit de sandbox opent. Men heeft op zich goed geregeld dat die gevaarlijke uitweg alleen open staat voor de website van die functie zelf, maar vervolgens niet streng bewaakt dat daar niets kan belanden waar misbruik van gemaakt kan worden. Dat suggereert dat men niet beseft heeft hoe gevaarlijk dit eigenlijk is en wat er nodig is om daarvoor te compenseren, en dat men permanent moet bewaken dat men geen fouten maakt ermee.
Men heeft hier een interactiemogelijkheid geïntroduceerd tussen twee heel verschillende systemen: een ingebouwde extensie in de browser en een deel van de eigen website. Het lijkt me duidelijk dat vervolgens aan die website is gewerkt door ontwikkelaars of beheerders die de interne werking van de browser niet overzien (dat is hun specialiteit ook niet), noch de interactie met wat zij maken. Dat die ontwikkelaars of beheerders op een live website verouderde pagina's laten rondslingeren waar kwetsbaarheden inzitten wijst hoe dan ook niet op een sterk ontwikkeld securitybewustzijn. Dat de Opera-organisatie heeft dat laten gebeuren, en zelfs bij een onderdeel van de website waar security kritisch is, suggereert dat men op organisatieniveau niet heeft beseft dat men iets heeft gecreëerd dat permanent hoge alertheid en bewaking nodig heeft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
