Recientemente byla objevena zranitelnost což by mohlo správcům umožnit blokovat seznamy filtrů pro rozšíření prohlížeče Adblock Plus, AdBlock a uBlocker vytvářet filtry, které vkládají vzdálené skripty na webové stránky.
S uživatelskou základnou, která překročila hranici 10 milionů, pokud by do blokátorů reklam byly vloženy škodlivé skripty, mělo by to značný dopad Protože mohou provádět nežádoucí činnosti, jako je krádež souborů cookie, informace o připojení, přesměrování stránky nebo jiné nežádoucí chování.
Pro ty kteří blokátory reklam neznají, používají v zásadě seznamy adres URL související se škodlivými reklamami a chováním.
Obvykle, Řídí je malý tým lidí nebo dokonce jediná osoba.
Pokud jsou tyto seznamy načteny s příponou blokující reklamy, jako je Adblock Plus, toto rozšíření zabrání prohlížeči v připojení k adresám URL uvedeným v seznamu, a tím zabrání připojení ke škodlivým reklamám nebo skriptům.
Problém způsobuje volba $ rewrite filter
Kdy AdblockerPlus 3.2 spuštěno v roce 2018 přidána nová možnost seznamu filtrů s názvem $ rewrite.
Tato volba povoleno správci seznamu nahraďte webový požadavek, který odpovídá regulárnímu výrazu zejména s jinou adresou URL.
Hubert Figuiere, kdo tuto funkci zavedl, vysvětlil, že:
„Od verze Adblock Plus 3.2 pro Chrome, Firefox a Opera (a vývojové verze 3.1.0.2053) vám nová možnost filtru přepsání $ umožňuje přepsat adresu URL prostředku místo jeho blokování.
Když Adblock Plus přiřadí adresu URL požadavku filtru s možností přepsání $, transformuje adresu URL na základě poskytnutého pravidla a řekne prohlížeči, aby zdroj načetl současně.
Syntaxe pravidla $ rewrite určuje řetězec, který slouží jako šablona pro novou adresu URL.
$ n je nahrazeno regulárním výrazem filtru n-té dílčí shody. Toto je stejná syntaxe jako funkce JavaScript String.prototype.replace ().
Pokud je výsledná adresa URL relativní (tj. nemáte hostitele), jako základ bude použit původ původního dotazu. V obou případech, pokud nová adresa URL nesdílí původ, přepsání bude považováno za neúspěšné a počáteční požadavek projde.
Filtry přepsání $ jsou také z bezpečnostních důvodů ignorovány pro dotazy SCRIPT, SUBDOCUMENT, OBJECT a OBJECT_SUBREQUEST. Tato možnost je vhodná pro úpravu nebo eliminaci parametrů dotazu ».
Jedinou nevýhodou je, že náhradní řetězec musí být relativní URL, což znamená, že neobsahuje název hostitele a po přepsání musí patřit do stejné původní domény jako požadavek.
Spuštění kódu se provádí dokonce na google maps
Vysvětlil bezpečnostní pracovník to:
Za určitých podmínek je možné, aby neoprávněný správce škodlivého filtru vytvořil pravidlo, které do konkrétního webu vloží vzdálený skript.
Chcete-li to provést, prostě hledejte web, který načítá skripty z jakékoli domény, která obsahuje otevřené přesměrování a použijte XMLHttpRequest nebo Fetch stáhnout spuštěné skripty.
Nebylo to příliš těžké najít, protože to udělat sám stačí použít Mapy Google jako důkaz konceptu.
Výzkumník to vysvětlil musí být splněna následující kritéria aby bylo možné webovou službu zneužít touto metodou:
- Stránka musí načíst řetězec JS pomocí XMLHttpRequest nebo Fetch a provést návratový kód.
- Stránka by neměla omezovat zdroje, ze kterých ji lze načíst pomocí pokynů zásad zabezpečení obsahu, ani před spuštěním staženého kódu ověřit adresu URL konečného požadavku.
- Zdroj načteného kódu musí mít otevřené přesměrování na straně serveru nebo libovolný uživatelský obsah z hostitele.
Ke stažení skriptů a otevření přesměrování pomocí XMLHttpRequest nebo Fetch jsou dva klíče k problému.
Chcete-li tento problém zmírnit, doporučuje se, aby weby používaly záhlaví zásad zabezpečení obsahu a možnost connect-src určit seznam povolených webů, ze kterých lze načíst skripty.