17 Октября, 2018

Онлайн-реклама: потенциальный способ для XSS-атак

Panda Security в России и СНГ
Практически никто не любит смотреть рекламу при просмотре сайтов в Интернете. Но факт в том, что мы приняли это как необходимое зло. Другое дело – всплывающие объявления или баннеры, которые «прыгают» с одного места на другое, перекрывая содержимое страницы сайта, и которые, без тени сомнения, в конечном итоге вызывают негативную реакцию пользователей.

Однако, если бы это было только единственным вредом, который такие объявления могут вызвать: баннеры, которые мы видим изо дня в день могут стать реальной проблемой информационной безопасности и приманкой для кибер-преступников, особенно в корпоративной среде.

Окно для XSS -атак
Исследователь Рэнди Вестергрен обнаружил одну из таких ошибок безопасности. Как он смог продемонстрировать , существует тип рекламного объявления, который особенно уязвим – это такая реклама, которая активируется с использованием iFrame Buster, позволяющий баннеру «раскрываться» и увеличиваться в размерах, когда на него наводят (или он передвигается над баннером) курсор мышки.

Вестергрен утверждает, что значительное (но неопределенное) количество таких рекламных объявлений позволяют iFrame Buster инициировать XSS-атаку, которая может получить доступ к кукам просматриваемого сайта, а также к объектной модели документа DOM (Document Object Model – структура, которая расставляет приоритеты для элементов, генерируемых браузером при загрузке страницы веб-сайта) и некоторым другим идентификационным службам. Если, например, это случится в тот момент, когда сотрудник компании просматривает сайты в Интернете, то активированная через данную рекламу вредоносная программа могла бы получить информацию или путь доступа в компанию, что может представлять серьезную опасность для информационной безопасности всей компании.
Более распространенная проблема, чем может казаться
Когда мы видим такую угрозу, всегда заманчиво думать, что подобные атаки могут происходить только на «странных» и каких-то маргинальных веб-сайтах, или веб-сайтах, которым никто в здравом уме доверять не будет. Впрочем, это не всегда так: Рэнди Вестергрен утверждает, что так даже могут быть заражены рекламные объявления, управляемые Double Click – рекламным сервисом, принадлежащим Google.

По словам эксперта, проблема не обязательно кроется в самих рекламных объявлениях или в бразуерах. Проблема начинается с рекламных агентств, которые часто разрабатывают свои собственные iFrame Buster’ы. Это приводит к ошибкам в их разработке, в результате чего такие «поделки» могут стать точками проникновения атаки.

Таким образом, опасность не ограничивается только некими маргинальными веб-сайтами, но она встречается и на многих крупных и популярных сайтах, многие из которых могут посещаться не только домашними пользователями, но и сотрудниками компаний со своих рабочих мест, даже если они находятся на этом сайте сугубо в силу своих профессиональных интересов - т.е. это может быть тот случай, когда сотрудник не тратит время на просмотр сайтов в свое удовольствие, а действительно посещает сайт в рабочих целях. Такие ситуации могут подвергнуть риску информационную безопасность всей компании. Опасность может подстерегать и тех сотрудников, которые работают эффективно и приносят реальную пользу компании .
Итак, кибер-преступники, которые используют такие тактики, смогут проводить свои атаки еще проще, т.к. им не потребуется даже завлекать своих жертв на какие-то подозрительные сайты или заставлять выполнять какие-то подозрительные действия – они смогут нападать на людей, когда они просто просматривают обычные (и, возможно, даже свои любимые) веб-сайты.

Как избежать таких атак
XSS-атаки могут стать причиной серьезных проблем не только для домашнего компьютера, но и для информационной безопасности компании, в которой вы работаете. А это означает, что всем компаниям необходимо быть начеку, т.к. кибер-преступность постоянно стучится в их двери. В этом случае мы можем дать два основных совета:

1. Повышайте осведомленность. Мы не раз говорили об этом: в большинстве случаев человек (а в случае с предприятиями - сотрудник) является самым слабым звеном в цепочке кибер-атак, становясь идеальной жертвой в силу недостатка знаний о потенциальных рисках, которым он может подвергаться. Вот почему домашним пользователям необходимо заниматься самообразованием, а компаниям необходимо обеспечивать хотя бы минимальные знания своих сотрудников по вопросам информационной безопасности. Нельзя доверять подозрительным веб-сайтам, раскрывающимся баннерам, тем сайтам, которые запрашивают больше прав, чем от них ожидалось, и т.д. В любом случае, любой человек может стать потенциальной жертвой, поэтому если у вас есть хотя бы малейшие подозрения или сомнения, то проконсультируйтесь  со специалистом, а если вы находитесь на работе – обратитесь в отдел, занимающийся информационной безопасностью, чтобы преградить распространение атаки на всю компанию в случае вторжения.

2. Используйте эффективные и обновленные антивирусы и решения информационной безопасности. Информационная безопасность не может зависеть только от вашей осведомленности или знаний рядовых сотрудников предприятия, поэтому крайне важно использовать надежный и эффективный антивирус. На предприятиях желательно использовать такие решения и сервисы информационной безопасности, как Panda Adaptive Defense , которые срабатывают не только в случае инцидента, но постоянно осуществляют превентивные меры, анализируя потенциальные риски и защищая от новых и неизвестных угроз. Кроме того, на предприятиях всегда должен быть актуальный план оперативных действий на тот случай, если придется столкнуться лицом к лицу с новыми угрозами. В случае с уязвимостями в сторонних приложениях, компаниям также важно иметь специальное решение, которое автоматически управляет обновлениями и необходимыми патчами, - например, Panda Patch Management.

Проблемы с корпоративной информационной безопасностью не обязательно связаны с проведением организованных кибер-атак или вложениями в электронных письмах: они могут случаться даже при ежедневном просмотре обычных сайтов, поэтому компаниям необходимо сохранять бдительность, чтобы кибер-преступники не смогли проникнуть в корпоративную сеть.

Оригинал статьи: Online ads: a potential way in for XSS attacks
Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com