ការវាយប្រហារ DoubleClickjacking ថ្មី បំពានដោយការចុចពីរដង (Double-Clicks) ដើម្បីលួចគណនី

0

បច្ចេកទេសឆបោក Clickjacking ថ្មីដែលមានឈ្មោះថា “DoubleClickjacking” អនុញ្ញាតឱ្យហេគឃ័របញ្ឆោតអ្នកប្រើដើម្បីទទួលបានសិទ្ធិប្រើប្រាស់ទិន្នន័យសម្ងាត់ ដោយប្រើការចុចពីរដង (Double-clicks) ខណៈពេលនៃការឆ្លងកាត់ប្រព័ន្ធការពារ។

Clickjacking ក៏ត្រូវបានគេស្គាល់ថាជា UI Redressing គឺនៅពេលហេគឃ័របង្កើតគេហទំព័រឆបោក ដែលបញ្ឆោតអ្នកប្រើឱ្យចុចលើគេហទំព័រដែលលាក់ ឬក្លែងបន្លំ (Hidden Or Disguised Webpage Elements)។ ការវាយប្រហារធ្វើឡើងដោយក្របដណ្តប់លើ (Overlay) គេហទំព័រស្របច្បាប់នៅក្នុង iframe ដែលលាក់នៅលើទំព័រ (Webpage) និងបង្កើតឡើងដោយអ្នកវាយប្រហារ។ គេហទំព័រដែលត្រូវបានបង្កើតឡើងដោយអ្នកវាយប្រហារនេះត្រូវបានរចនាឡើងដើម្បីតម្រឹមប៊ូតុង និងលីងរបស់វាជាមួយតំណភ្ជាប់ និងប៊ូតុងនៅលើ iframe ដែលត្រូវបានលាក់។

DoubleClickjacking attack flow

បន្ទាប់មក អ្នកវាយប្រហារប្រើគេហទំព័រ (Web page) របស់ពួកគេដើម្បីជូនដំណឹងទៅអ្នកប្រើប្រាស់ឱ្យចុច (Click) លើលីង ឬប៊ូតុងដូចជាដើម្បីឈ្នះរង្វាន់ ឬមើលរូបភាពស្អាតៗ។ ទោះជាយ៉ាងណា នៅពេលពួកគេចុចលើទំព័រ ពួកគេកំពុងតែចុចលើលីង និងប៊ូតុងនៅលើ iframe (គេទំព័រស្របច្បាប់) ដែលត្រូវបានលាក់ និងអាចប្រព្រឹត្តអំពើអាក្រក់ដូចជាអនុញ្ញាតឱ្យកម្មវិធី OAuth ភ្ជាប់ទៅគណនីរបស់ពួកគេ ឬទទួលយកសំណើ MFA។ ច្រើនឆ្នាំមកហើយ អ្នករចនា Web Browser បានណែនាំមុខងារថ្មីដែលការពារការវាយប្រហារទាំងនេះដូចជាមិនអនុញ្ញាតឱ្យ Cookies ត្រូវបានផ្ញើឆ្លងគេហទំព័រ ឬណែនាំការរឹតបន្តឹងសុវត្ថិភាព (X-Frame-Options ឬ Frame-ancestors) ឬគេហទំព័រអាចត្រូវបាន iframe។

ការវាយប្រហារ DoubleClickjacking ថ្មី៖ អ្នកជំនាញសន្តិសុខសាយប័រ Paulos Yibelo បានណែនាំការវាយប្រហារគេហទំព័រថ្មីហៅថា DoubleClickjacking ដែលអាចកេងចំណេញលើ Mouse Double-Clicks ដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យប្រើទិន្នន័យសម្ងាត់នៅលើគេហទំព័រ។ នៅក្នុងការវាយប្រហារនេះ ហេគឃ័រនឹងបង្កើតគេហទំព័រមួយ ដែលបង្ហាញប៊ូតុង និងមើលទៅដូចជាគ្មានកំហុសជាមួយនឹងឧបករណ៍ទាក់ទាញដូចជា “Click Here” ដើម្បីមើលរង្វាន់របស់អ្នក ឬភាពយន្ត។ នៅពេលជនរងគ្រោះចុចលើប៊ូតុងលើផ្ទាំងវីនដូថ្មីនឹងត្រូវបានបង្កើតឡើងដែលក្របបាំងពីមុខទំព័រដើម និងរួមមានការបញ្ឆោតផ្សេងទៀតដូចជាមាន Captcha ដើម្បីបន្តជាដើម។ នៅលើផ្ទៃ Background កម្មវិធី JavaScript នៅលើទំព័រដើមនឹងប្តូរទំព័រនោះទៅទំព័រស្របច្បាប់ដោយអ្នកវាយប្រហារចង់បញ្ឆោតអ្នកប្រើឱ្យអនុវត្តសកម្មភាពមួយ។

Captcha ក្របពីលើ (overlaid) វីនដូចាប់យកអ្នកប្រើប្រាស់ឱ្យ Double-click នៅលើទំព័រ ដើម្បីដោះស្រាយបញ្ហា Captcha។ ទោះជាយ៉ាងណា ទំព័រនេះស្តាប់មើលរក Mousedown event ហើយនៅពេលរកឃើញ ភ្លាមនោះ Captcha overlay នឹងធ្វើឱ្យ Second click ទៅចុះចតនៅលើប៊ូតុងអនុញ្ញាត ឬលីងដែលបង្ហាញឥឡូវនេះនៅលើទំព័រស្របច្បាប់ ដែលបានលាក់ពីមុន។ រឿងនេះធ្វើឱ្យអ្នកប្រើច្រលំចុចលើប៊ូតុងដែលបង្ហាញការអនុញ្ញាតឱ្យកម្មវិធីជំនួយត្រូវបានដំឡើងដែលជាកម្មវិធី OAuth Application ភ្ជាប់ទៅគណនីរបស់ពួកគេ ឬចាប់យកការផ្ទៀងផ្ទាត់ច្រើនជាន់ដែលត្រូវបានទទួលស្គាល់។

អ្វីដែលធ្វើឱ្យគ្រោះថ្នាក់ខ្លាំងនោះគឺថា វាឆ្លងកាត់ការការពារ Clickjacking បច្ចុប្បន្នទាំងអស់ ដោយសារវាមិនបានប្រើ iframe វាមិនបានព្យាយាមឆ្លងកាត់ Cookies ទៅកាន់ដូមិន (Domain) ផ្សេងទេ។ ផ្ទុយទៅវិញ សកម្មភាពនេះកើតឡើងដោយផ្ទាល់នៅលើគេហទំព័រស្របច្បាប់ដែលមិនត្រូវបានការពារ។ អ្នកជំនាញ Yibelo ថ្លែងថា ការវាយប្រហារនេះប៉ះពាល់ដល់ស្ទើរតែគ្រប់គេហទំព័រ ដែលចែករំលែកវីដេអូបង្ហាញពីការប្រើប្រាស់ DoubleClickjacking ដើម្បីគ្រប់គ្រងគណនី Shopify, Slack និង Salesforce។

អ្នកស្រាវជ្រាវក៏ព្រមានថា ការវាយប្រហារមិនមែនមានតែត្រឹមគេហទំព័រ (Web Pages) នោះទេ ខណៈពេលដែលវាអាចត្រូវបានប្រើសម្រាប់ Browser Extensions ផងដែរនោះ។ អ្នកជំនាញ Yibelo បានបន្តថា ឧទាហរណ៍ដូចខ្ញុំបានបង្ហាញភស្តុតាងពីគំនិតទៅកាន់កាបូបគ្រីបតូរបស់កម្មវីធី Browser ដែលប្រើបច្ចេកទេសនេះដើម្បីអនុញ្ញាតប្រតិបត្តិការ Web3 & dApps ឬបិទ VPN ដើម្បីបង្ហាញ IP ជាដើម។

រឿងនេះក៏អាចត្រូវបានធ្វើនៅលើទូរស័ព្ទដៃផងដែរដោយស្នើសុំក្រុមគោលដៅឱ្យ ‘DoubleTap’។ ដើម្បីការពារការវាយប្រហារបែបនេះ លោក Yibello បានចែករំលែក JavaScript ដែលអាចត្រូវបានបន្ថែមគេហទំព័រ (Webpages) សម្រាប់បិទប៊ូតុងសម្ងាត់ (Sensitive Buttons) រហូតដល់មានការអនុញ្ញាត (Gesture)។ ការណ៍នេះនឹងជួយការពារ Double-click ពីការចុចដោយស្វ័យប្រវត្តិនៅលើប៊ូតុងដែលមានសិទ្ធិនៅពេលលុបការក្របដណ្តប់ (Overlay) របស់អ្នកវាយប្រហារ។ អ្នកស្រាវជ្រាវក៏ស្នើសុំ HTTP Header ដ៏មានសក្តានុពល ដែលអាចកំណត់ ឬរារាំងការផ្លាស់ប្តូ Context-switching រវាងផ្ទាំងវីនដូនៅចន្លោះ Double-click Sequence ផងដែរ៕

https://www.bleepingcomputer.com/news/security/new-doubleclickjacking-attack-exploits-double-clicks-to-hijack-accounts/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី០២ ខែមករា ឆ្នាំ២០២៤

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here