Nieuwe ‘DoubleClickjacking’-exploit omzeilt Clickjacking-beveiligingen op grote websites

Bedreigingsjagers hebben een nieuwe “wijdverbreide, op timing gebaseerde kwetsbaarheidsklasse” onthuld die gebruik maakt van een dubbelklikreeks om clickjacking-aanvallen en accountovernames op bijna alle grote websites te vergemakkelijken.

De techniek heeft de codenaam gekregen DoubleClick-jacking door veiligheidsonderzoeker Paulos Yibelo.

“In plaats van te vertrouwen op een enkele klik, maakt het gebruik van een dubbelklikreeks”, zegt Yibelo. “Hoewel het misschien als een kleine verandering klinkt, opent het de deur voor nieuwe UI-manipulatieaanvallen die alle bekende clickjacking-beveiligingen omzeilen, inclusief de X-Frame-Options-header of een SameSite: Lax/Strict-cookie.”

Clickjacking, ook wel UI-redressing genoemd, verwijst naar een aanvalstechniek waarbij gebruikers worden misleid om op een ogenschijnlijk onschadelijk webpagina-element (bijvoorbeeld een knop) te klikken, wat leidt tot de inzet van malware of het exfiltreren van gevoelige gegevens.

DoubleClickjacking is een variatie op dit thema en benut de kloof tussen het begin van een klik en het einde van de tweede klik om beveiligingscontroles te omzeilen en accounts over te nemen met minimale interactie.

Concreet gaat het om de volgende stappen:

  • De gebruiker bezoekt een door een aanvaller bestuurde site die een nieuw browservenster (of tabblad) opent zonder enige gebruikersinteractie of met een klik op een knop.
  • Het nieuwe venster, dat iets onschadelijks kan nabootsen, zoals een CAPTCHA-verificatie, vraagt ​​de gebruiker om te dubbelklikken om de stap te voltooien.
  • Terwijl het dubbelklikken plaatsvindt, maakt de bovenliggende site gebruik van het JavaScript Window Location-object om heimelijk door te verwijzen naar een kwaadaardige pagina (bijvoorbeeld bij het goedkeuren van een kwaadaardige OAuth-applicatie)
  • Tegelijkertijd wordt het bovenste venster gesloten, waardoor een gebruiker onbewust toegang kan verlenen door het toestemmingsbevestigingsvenster goed te keuren.

“De meeste webapps en -frameworks gaan ervan uit dat slechts een enkele geforceerde klik een risico is”, zegt Yibelo. “DoubleClickjacking voegt een laag toe waarvoor veel verdedigingen nooit zijn ontworpen. Methoden zoals X-Frame-Options, SameSite-cookies of CSP kunnen zich niet verdedigen tegen deze aanval.”

Website-eigenaren kunnen de kwetsbaarheidsklasse elimineren met behulp van een client-side benadering die kritieke knoppen standaard uitschakelt, tenzij een muisgebaar of toetsaanslag wordt gedetecteerd. Diensten als Dropbox maken al gebruik van dergelijke preventieve maatregelen, zo is gebleken.

Als langetermijnoplossing wordt aanbevolen dat browserleveranciers nieuwe standaarden adopteren, vergelijkbaar met X-Frame-Options, om zich te beschermen tegen dubbelklik-uitbuiting.

“DoubleClickjacking is een variant op een bekende aanvalsklasse”, zegt Yibelo. “Door gebruik te maken van de gebeurtenistiming tussen klikken, kunnen aanvallers in een oogwenk goedaardige UI-elementen naadloos vervangen door gevoelige.”

De onthulling komt bijna een jaar nadat de onderzoeker ook een andere clickjacking-variant demonstreerde, genaamd cross window forgery (ook wel gebarenjacking genoemd), waarbij een slachtoffer wordt overgehaald om de Enter-toets of de spatiebalk ingedrukt te houden op een door de aanvaller gecontroleerde website om een ​​aanval te starten. kwaadaardige actie.

Op websites als Coinbase en Yahoo! kan dit worden misbruikt om een ​​accountovername te bewerkstelligen “als een slachtoffer dat op een van beide sites is ingelogd, naar de website van een aanvaller gaat en de Enter/Spatie-toets ingedrukt houdt.”

“Dit is mogelijk omdat beide sites een potentiële aanvaller toestaan ​​een OAuth-applicatie te maken met een breed bereik om toegang te krijgen tot hun API, en ze allebei een statische en/of voorspelbare ‘ID’-waarde instellen op de ‘Toestaan/Authoriseren’-knop die wordt gebruikt om autoriseer de toepassing op de rekening van het slachtoffer.”

Thijs Van der Does