Через торрент-клиент Transmission можно захватить ПК под Windows, Linux и MacOS

Вне зависимости от ОС и браузера Эксперт Google Project Zero, Тевис Орманди (Tavis Ormandy) опубликовал информацию о серьезной уязвимости в торрент-клиенте Transmission, которая позволяет захватывать контроль над компьютером жертвы. Помимо подробных сведений об уязвимости, Орманди опубликовал и пробный эксплойт, позволяющий производить атаку на Transmission. Этот эксплойт использует функцию, которая позволяет управлять приложением BitTorrent через веб-браузер. По словам Орманди, большинство пользователей предпочитают не использовать защиту этого приложения паролем, поскольку предполагается, что интерфейс JSON RPC будет под контролем лишь тех, у кого есть физический доступ к компьютеру с запущенным клиентом Transmission. Однако используя метод под названием DNS Rebinding, Орманди нашел способ удаленного управления интерфейсом Transmission. Для этого потребуется заманить жертву на вредоносный сайт. По словам исследователя, его пробная атака точно работает под браузерами Chrome и Firefox на Windows и Linux, и скорее всего будет эффективно на других платформах и под другими браузерами. При атаке DNS Rebinding вредоносная страница запускает на машинах потенциальных жертв локальный скрипт, который производит атаку на другие машины в той же локальной сети. По идее, правила ограничения домена должны препятствовать этому: локальные скрипты могут получать доступ к контенту, располагающемуся только на том же хосте. Ключевой способ обеспечить соблюдения этого правила - это сравнение доменных имен; метод DNS Rebinding обходит его, используя некоторые особенности системы доменных имен (DNS). В частности, потенциальные злоумышленники могут создать произвольное DNS-имя, а затем переадресовать его на имя localhost уязвимого компьютера. Описание атаки Сам Орманди так описал атаку. Пользователь посещает сайт attacker.com, в котором спрятан фрейм со ссылкой на субдомен под контролем злоумышленника. Злоумышленник настраивает DNS-сервер так, чтобы тот попеременно возвращал адреса 127.0.0.1 и 123.123.123.123 (контролируемый преступником адрес) с очень низким значением TTL (коротким временем существования). http://filearchive.cnews.ru/img/news/2018/01/18/transmission6001.jpg"> Атака DNS Rebinding на клиент Transmission Когда браузер обращается к 123.123.123.123, в ответ подается страница HTML, который либо пассивно ждет, когда DNS-запись прекратит действовать, либо активно ускоряет процесс, «замусоривая» кэш DNS-запросами, после чего у преступников появляется возможность читать и устанавливать заголовки. Далее злоумышленник может, например, перенастроить торрент-клиент так, чтобы загруженные данные размещались в корневой папке пользователя, скомандовать Transmission скачать торрент с расширением .bashrc, и тот автоматически запустится, когда пользователь откроет консоль bash. Кроме того, можно перенастроить Transmission так, чтобы после окончания скачивания он запускал любую их команду. «Не джентльменское» раскрытие проблемы Поспешность раскрытия проблемы Орманди объясняет тем, что предоставил разработчикам Transmission готовые патчи, закрывающие «дыру», однако за прошедшие с тех пор 40 дней он так и не был адаптирован и выпущен. Сами разработчики Transmission заявили, что выпустят патч «как можно скорее», но не назвали никаких конкретных дат и сроков. «Баг относительно легко эксплуатировать, что, вероятно, и сподвигло эксперта «опередить события» и опубликовать подробности о возможной атаке до истечения «джентльменского срока» в 90 дней, - тем более, что патч уже был по сути готов, - считает [b]Роман Гинятуллин[/b], эксперт по информационной безопасности компании SEC Consult Services. - Другой вопрос, была ли действительно острая необходимость публиковать подробности и эксплойт до срока». Тэвис Орманди пообещал в самом скором времени опубликовать информацию об уязвимостях и в других торрент-клиентах.[img]http://filearchive.cnews.ru/img/news/2018/01/18/transmission6001.jpg"> Атака DNS Rebinding на клиент Transmission Когда браузер обращается к 123.123.123.123, в ответ подается страница HTML, который либо пассивно ждет, когда DNS-запись прекратит действовать, либо активно ускоряет процесс, «замусоривая» кэш DNS-запросами, после чего у преступников появляется возможность читать и устанавливать заголовки. Далее злоумышленник может, например, перенастроить торрент-клиент так, чтобы загруженные данные размещались в корневой папке пользователя, скомандовать Transmission скачать торрент с расширением .bashrc, и тот автоматически запустится, когда пользователь откроет консоль bash. Кроме того, можно перенастроить Transmission так, чтобы после окончания скачивания он запускал любую их команду. «Не джентльменское» раскрытие проблемы Поспешность раскрытия проблемы Орманди объясняет тем, что предоставил разработчикам Transmission готовые патчи, закрывающие «дыру», однако за прошедшие с тех пор 40 дней он так и не был адаптирован и выпущен. Сами разработчики Transmission заявили, что выпустят патч «как можно скорее», но не назвали никаких конкретных дат и сроков. «Баг относительно легко эксплуатировать, что, вероятно, и сподвигло эксперта «опередить события» и опубликовать подробности о возможной атаке до истечения «джентльменского срока» в 90 дней, - тем более, что патч уже был по сути готов, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Другой вопрос, была ли действительно острая необходимость публиковать подробности и эксплойт до срока». Тэвис Орманди пообещал в самом скором времени опубликовать информацию об уязвимостях и в других торрент-клиентах.