Terwijl de aanvallen zijn momenteel targeting Tor gebruikers, de publicatie van de exploit code staat iedereen toe deze te gebruiken, mogelijk het zetten van alle Firefox-gebruikers risico lopen.
Afbeelding: Mozilla
Gebruikers van de online anonimiteit netwerk Tor zijn voor een nieuwe aanval dat gebruikt bijna identieke code om een Firefox-exploit gebruikt door de FBI in 2013.
Tor mede-oprichter Roger Dingledine, zegt Mozilla werkt aan een patch voor Firefox om tegen de nieuwe JavaScript-exploit, die werd gepubliceerd op Tor ‘ s officiële website als onderdeel van een waarschuwing dat Tor-gebruikers zijn onder aanval nu.
Iemand gebruik van het Tor-verborgen e-mail service Sigaint schreef op Tor mailing lijst: “Dit is een JavaScript exploiteren actief gebruikt tegen TorBrowser NU. Het bestaat uit een HTML en een CSS-bestand, zowel geplakt hieronder en ook de verduisterd.”
Terwijl de aanvallen zijn momenteel targeting Tor gebruikers, de publicatie van de exploit code staat iedereen toe deze te gebruiken, mogelijk het zetten van alle gebruikers van Firefox op risico van nieuwe aanvallen. De Tor Browser is gebaseerd op een versie van Firefox en de twee vaak voorkomende kwetsbaarheden.
Mozilla is het bijhouden van de bug, dat betekent dat er een correctie moet worden op de weg binnenkort. Begin van de analyses suggereren dat het heeft JavaScript te zijn ingeschakeld in de browser.
Security-onderzoeker en CEO van TrailofBits, Dan Guido, merkt op dat macOS is ook kwetsbaar. Echter, het exploiteren momenteel alleen doelen Firefox op Windows.
Een onderzoeker gaat door het @TheWack0lian greep op Twitter heeft een analyse gemaakt van het exploiteren en zegt deze is vrijwel identiek aan die van de FBI die zijn toegelaten voor de in 2013 te ontmaskeren bezoekers naar een donker web van kindermisbruik site gehost op Vrijheid Hosting.
“Toen ik voor het eerst zag de oude shellcode was dus gelijk, ik moest controleer de data om ervoor te zorgen ik was niet op zoek naar een drie-jaar-oude post,” TheWack0lian schreef.
De FBI 2013 malware is ontworpen om de gebruiker op de host-naam en het MAC-adres naar een server gehost op een ander IP-adres aan de nieuwe aanval. Volgens TheWack0lian, de nieuwe malware-oproepen verzenden van een unieke id van een server op 5.39.27.226, die is toegewezen aan de franse ISP OVH maar dat adres is momenteel niet meer reageert.
Sommige van deze verbinding naar een frans adres werpt de vraag op enig vermoeden is dat de nieuwe malware is gekoppeld aan een FBI-operatie.
Volgens de privacy-advocaat Christopher Soghoian: “Het Tor-malware naar huis bellen om een frans IP-adres is een raadsel, maar ik zou verbaasd zijn om te zien een AMERIKAANSE federale rechter toestaan dat.”
In een reeks van berichten op Twitter, Guido merkte op dat deze exploit is niet bijzonder geavanceerd en zou het moeilijker te exploiteren op Chrome Rand en door het geheugen te partitioneren, Firefox ontbreekt.
“Laatste gedachten: de Tor Browser Bundle is niet in staat om te beschermen tegen degenen die het het meest nodig hebt. Als u op vertrouwen, sterk te heroverwegen uw keuzes”, zegt Guido schreef.