Mens angreb er i øjeblikket rettet mod Tor-brugere, offentliggørelse af exploit-kode giver alle mulighed for at bruge det, kan potentielt sætte alle Firefox-brugere i fare.
Billede: Mozilla
Brugere af online anonymitet netværk Tor står over for et nyt angreb, der bruger næsten identisk kode til en Firefox udnytte anvendes af FBI i 2013.
Tor co-grundlægger Roger Dingledine, siger Mozilla arbejder på en opdatering til Firefox til at imødegå den nyfundne JavaScript udnytte, som blev offentliggjort på Tor ‘ s officielle hjemmeside som en del af en advarsel om, at Tor-brugere er under angreb nu.
Nogen bruger Tor-hidden email service Sigaint skrev på Tor ‘ s mailing-liste: “Dette er et JavaScript udnytte bruges aktivt mod TorBrowser NU. Det består af en HTML-og en CSS-fil, begge indsat nedenfor, og også de er skjult.”
Mens angreb er i øjeblikket rettet mod Tor-brugere, offentliggørelse af exploit-kode giver alle mulighed for at bruge det, kan potentielt sætte alle Firefox-brugere ved risiko for nye angreb. Tor Browser er baseret på en version af Firefox, og de to deler ofte common vulnerabilities.
Mozilla er at spore fejl, hvilket betyder, at en rettelse, bør være på vej snart. Tidlige analyser tyder på, at det kræver JavaScript for at blive aktiveret i browseren.
Sikkerhedsekspert og DIREKTØR i TrailofBits, Dan Guido, bemærker, at macOS er også sårbare. Men den udnyttelse, der i øjeblikket kun mål Firefox på Windows.
En forsker vil med @TheWack0lian håndtag på Twitter har analyseret udnytte og siger, at det er stort set identisk med et, som den FBI, der er optaget til brug i 2013 til at demaskere besøgende til en mørk-web-barn-misbrug websted er hostet på Frihed Hosting.
“Da jeg første gang lagde mærke til de gamle shellcode var så ens, jeg var nødt til at dobbelt-tjekke datoer for at sørge for jeg var ikke kigger på en tre-årig post,” TheWack0lian skrev.
FBI ‘ s 2013 malware blev designet til at sende brugerens host-navnet og MAC-adressen til en server hostet på en anden IP-adresse til den nye angreb. Ifølge TheWack0lian, den nye malware opkald, sende en unik identifikator til en server på 5.39.27.226, som er tildelt til franske ISP OVH, men adressen er i øjeblikket ikke op med at reagere.
For nogle kan denne forbindelse til en fransk adresse kaster spørgsmålstegn ved enhver mistanke om, at den nye malware er knyttet til en FBI-drift.
I henhold til privatlivets fred fortaler Christopher Soghoian: “Tor-malware at ringe hjem til en fransk IP-adresse er forvirrende, men jeg vil blive overrasket over at se en amerikansk føderal dommer tillade, at.”
I en serie af indlæg på Twitter, Guido kommenterede, at denne udnyttelse er ikke særligt avanceret, og det ville være sværere at udnytte på Krom og Kanten på grund af hukommelse opdeling, som Firefox mangler.
“Afsluttende tanker: Tor Browser Bundle er ude af stand til at beskytte dem, der har mest brug for det. Hvis du stoler på det, kraftigt genoverveje dit valg,” Guido skrev.