Zeroday-lek in Opera maakt uitvoeren van malafide bestanden mogelijk
Een zeroday-lek is ontdekt in de webbrowser Opera. De kwetsbaarheid geeft aanvallers de mogelijkheid malafide bestanden uit te voeren op zowel Windows- als macOS-systemen. Dit is mogelijk via een daarvoor geprepareerde thirdy-party browserextensie.
Dit blijkt uit onderzoek van Guardio Labs, dat de kwetsbaarheid 'MyFlaw' noemt. Het lek houdt verband met My Flow, een functionaliteit van Opera voor het synchroniseren van notities en bestanden tussen mobiele apparaten en desktopsystemen. Gebruikers scannen hierbij een QR-code, waarna zij een chat-achtige interface gepresenteerd krijgen voor het delen van content. De functionaliteit voegt hierbij een 'OPEN' link toe aan ieder bericht dat is voorzien van een bijlage. Dit geeft gebruikers de mogelijkheid het bestand direct vanuit de webinterface te openen. De functionaliteit omzeilt hierbij de gebruikelijke beperkingen van de browser en draait bestanden bijvoorbeeld niet in een sandbox. Dit brengt beveiligingsrisico's met zich mee, waarschuwt Guardio Labs.
Zo maakt de functie gebruik van een extensie genaamd 'Opera Touch Background'. Deze extensie blijkt zeer brede permissies te hebben. Wel zijn aanvullende securitymechanismen ingebouwd om aanvallen tegen te gaan. Een van deze mechanismen bepaalt dat alleen web resources van specifieke domeinen kunnen communiceren met de onderliggende extensie. Guardio Labs ontdekte echter verschillende verouderde versies van My Flow landingspages, die nog altijd beschikbaar waren. Op sommige van deze landingpages ontbraken de securitymechanismen. "Dit is precies wat een aanvaller nodig heeft - een onveilige en vergeten asset die kwetsbaar is voor code-injectie, en bovenal - die toegang met (zeer) hoge permissie toegang heeft tot de native browser API", schrijft Guardio Labs.
De onderzoekers zijn erin geslaagd een Proof of Concept-extensie te ontwikkelen voor het downloaden en uitvoeren van een bestand op het systeem van een slachtoffer. Deze extensie creëert een vals apparaat voor het genereren van een QR-code, die vervolgens wordt gebruikt om te pairen met de webbrowser. Vervolgens simuleert de extensie een bestandsoverdracht voor het afleveren van een malafide payload naar de webbrowser van het slachtoffer. De aanval vereist interactie met een gebruiker, bijvoorbeeld via social engineering.
De kwetsbaarheid is inmiddels grotendeels verholpen door het team van Opera. Problematische en onveilige assets die door het lek op de servers van Opera terecht zijn gekomen zijn inmiddels verwijderd. Guardio Labs zegt geen aanwijzingen te hebben dat het lek door kwaadwillenden is uitgebuit.
Guardio Labs legt het uit: Opera is gebaseerd op Chrome, en Chrome biedt de mogelijkheid voor ingebouwde extensies, die een browsermaker als vast onderdeel van de browser meelevert. Opera heeft dat mechanisme gebruikt om deze functie toe te voegen aan de browser.
Dit mechanisme voor ingebouwde extensies maakt het mogelijk om uit de sandbox te treden. Opera heeft daartegen beveiligd door de extensie alleen vanuit "https://*.flow.opera.com/*" en "https://*.flow.op-test.net/*" benaderbaar te laten zijn. De fout die ze vervolgens maakten is om onder flow.opera.com een oude versie van de flow-webpagina te laten rondslingeren die een kwetsbaarheid bevatte.
Opera heeft hier dus een functie aan de browser toegevoegd die, zeer gevaarlijk, een uitweg uit de sandbox opent. Men heeft op zich goed geregeld dat die gevaarlijke uitweg alleen open staat voor de website van die functie zelf, maar vervolgens niet streng bewaakt dat daar niets kan belanden waar misbruik van gemaakt kan worden. Dat suggereert dat men niet beseft heeft hoe gevaarlijk dit eigenlijk is en wat er nodig is om daarvoor te compenseren, en dat men permanent moet bewaken dat men geen fouten maakt ermee.
Men heeft hier een interactiemogelijkheid geïntroduceerd tussen twee heel verschillende systemen: een ingebouwde extensie in de browser en een deel van de eigen website. Het lijkt me duidelijk dat vervolgens aan die website is gewerkt door ontwikkelaars of beheerders die de interne werking van de browser niet overzien (dat is hun specialiteit ook niet), noch de interactie met wat zij maken. Dat die ontwikkelaars of beheerders op een live website verouderde pagina's laten rondslingeren waar kwetsbaarheden inzitten wijst hoe dan ook niet op een sterk ontwikkeld securitybewustzijn. Dat de Opera-organisatie heeft dat laten gebeuren, en zelfs bij een onderdeel van de website waar security kritisch is, suggereert dat men op organisatieniveau niet heeft beseft dat men iets heeft gecreëerd dat permanent hoge alertheid en bewaking nodig heeft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.