La technique de fuite de données au niveau du processeur fonctionne toujours, trois ans plus tard
Une nouvelle découverte attaque par canal latéral le ciblage de Google Chrome peut permettre à un attaquant de surmonter les défenses de sécurité du navigateur Web pour récupérer des informations sensibles à l’aide d’une attaque de type Spectre.
Doublé Spook.js, l' »attaque par canal latéral d’exécution transitoire » peut contourner les protections de Chrome contre les exploits d’exécution spéculative (Spectre) pour voler des informations d’identification, des données personnelles, etc.
C’est selon les auteurs d’un article intitulé ‘Spook.js : Attaquer l’isolement strict du site Chrome via une exécution spéculative‘ (PDF).
Attaques de spectres
Spectre, qui a fait la une des journaux mondiaux en 2018, exploite les failles des fonctionnalités d’optimisation des processeurs modernes pour contourner les mécanismes de sécurité qui empêchent différents processus d’accéder à l’espace mémoire des uns et des autres.
Cela a permis un large éventail d’attaques contre différents types d’applications, y compris des applications Web, permettant aux attaquants de voler des informations sensibles sur différents sites Web en exploitant la manière dont différentes applications et processus interagissent avec les processeurs et la mémoire sur puce.
UNE ANALYSE Les attaques spectrales contre les sites Web restent une menace sérieuse, prévient Google
Navigateur les fournisseurs ont depuis déployé diverses contre-mesures afin de rendre les attaques de type Spectre plus difficiles à exploiter.
Google Chrome a introduit l’isolement strict du site, qui empêche différentes pages Web de partager le même processus. Il a également partitionné l’espace d’adressage de chaque processus en différents sandbox 32 bits (bien qu’il s’agisse d’une application 64 bits).
En limitant toutes les valeurs à 32 bits, cela vise à empêcher un attaquant Spectre de franchir les limites de la partition, limitant davantage l’exposition aux informations, ont expliqué les chercheurs.
N’est plus isolé
Malgré la mise en place de ces protections, des chercheurs de l’Université du Michigan, de l’Université d’Adélaïde, du Georgia Institute of Technology et de l’Université de Tel Aviv, ont déclaré que Spook.js « montre que ces contre-mesures sont insuffisantes pour protéger les utilisateurs des spéculations basées sur le navigateur. attaques par exécution ».
Ils ont écrit : « Plus précisément, nous montrons que la mise en œuvre de l’isolation stricte du site de Chrome consolide les pages Web en fonction de leur domaine eTLD+1, permettant à une page contrôlée par un attaquant d’extraire des informations sensibles des pages d’autres sous-domaines.
« Ensuite, nous montrons également comment contourner le mécanisme de sandboxing 32 bits de Chrome. Nous y parvenons en utilisant une attaque de confusion de type, qui force temporairement Chrome JavaScript moteur pour opérer sur un objet du mauvais type.
« Grâce à cette méthode, nous pouvons combiner plusieurs valeurs 32 bits en un seul pointeur 64 bits, ce qui nous permet de lire l’intégralité de l’espace d’adressage du processus.
« Enfin, au-delà des preuves de concept initiales, nous démontrons des attaques de bout en bout extrayant des informations sensibles telles que la liste des pages ouvertes, leur contenu et même les identifiants de connexion. »
Preuve de concept
L’équipe de chercheurs a démontré comment l’attaque peut être utilisée pour prendre le contrôle d’un compte Tumblr en attaquant le gestionnaire d’informations d’identification intégré de Chrome et en volant les informations d’identification de l’utilisateur.
Ils ont également montré comment Spook.js peut récupérer le maître le mot de passe dans l’extension LastPass Chrome – leur permettant d’accéder à toutes les informations d’identification stockées dans le coffre-fort de mots de passe d’un utilisateur :
En plus des noms d’utilisateur et des mots de passe, les chercheurs ont pu accéder à un certain nombre d’ensembles de données sensibles qui sont stockés dans la mémoire d’un site Web rendu dans le navigateur Chrome ou une extension Chrome.
Les chercheurs ont déclaré qu’ils pouvaient accéder à la liste des onglets du même site qu’un utilisateur a actuellement ouverts, des numéros de téléphone, des adresses et des informations de compte bancaire affichés sur un site Web, des noms d’utilisateur, des mots de passe et des numéros de carte de crédit remplis automatiquement par les gestionnaires d’informations d’identification, et dans certaines circonstances, les images dans Google Photos qu’un utilisateur consulte actuellement.
L’attaque ne se limite pas à Google Chrome. Il fonctionne également avec succès sur d’autres navigateurs basés sur Chromium tels que Microsoft Bord et courageux.
En réponse, Google a introduit Strict Extension Isolation, une fonctionnalité qui empêche la consolidation de plusieurs extensions dans le même processus sous la pression de la mémoire, empêchant Spook.js de lire la mémoire d’autres extensions.
L’isolation d’extension stricte est activée à partir des versions 92 et ultérieures de Chrome.
En savoir plus sur les dernières nouvelles sur les vulnérabilités de sécurité
Les chercheurs ont également conseillé : « Les développeurs Web peuvent immédiatement séparer le code JavaScript non fiable fourni par l’utilisateur de tout autre contenu de leur site Web, en hébergeant tout le code JavaScript fourni par l’utilisateur sur un domaine qui a un eTLD+1 différent.
« De cette façon, Strict Site Isolation ne consolidera pas le code fourni par l’attaquant avec des données potentiellement sensibles dans le même processus, mettant les données hors de portée même pour Spook.js car elles ne peuvent pas franchir les limites du processus.
« De plus, les sites peuvent enregistrer leur nom de domaine sur la liste des suffixes publics (PSL). Le PSL est maintenu par Mozilla, et est une liste de domaines sous lesquels les utilisateurs peuvent enregistrer des noms directement (même si les domaines ne sont pas de véritables domaines de premier niveau).
« Chrome ne consolidera pas les pages si leur domaine eTLD+1 est présent dans le PSL. C’est-à-dire que x.publicsuffix.com et y.publicsuffix.com seront toujours séparés.
Conseils d’atténuation de Spook.js
Lorsqu’on lui a demandé comment les utilisateurs peuvent se protéger contre Spook.js, Jason Kim du Georgia Institute of Technology, a déclaré La gorgée quotidienne: « En réponse à notre attaque, Google a déployé une isolation stricte des extensions, qui garantit que plusieurs extensions ne sont pas consolidées en un seul processus Chrome.
« Ainsi, en passant à Chrome 92 utilisations peuvent se protéger contre une version de notre attaque. Cependant, en raison de la logique utilisée par Strict Site Isolation pour déterminer si les sites doivent être séparés ou non, certaines variantes de Spook.js pourraient toujours être possibles.
Kim a ajouté : « Pour ces cas, le déploiement de contre-mesures doit être effectué par les administrateurs de sites Web et les développeurs Web, et non par des utilisateurs individuels. Heureusement, Spook.js nécessite une expertise substantielle des canaux secondaires pour être utilisé efficacement, élevant ainsi la barre pour les attaquants potentiels.
DES ARCHIVES Meltdown et Spectre, un an plus tard : le ralentissement du processeur redouté ne s’est jamais vraiment matérialisé
