CSP-kwetsbaarheid in Edge wordt niet gedicht
Microsoft is niet van plan een kwetsbaarheid in de webbrowser Edge te dichten. Het gaat om een kwetsbaarheid waarmee aanvallers de Content Security Policy (CSP) die is ingesteld door een webserver kunnen omzeilen, wat ertoe kan leiden dat vertrouwelijke informatie van gebruikers kan worden onderschept.
Dit meldt de Talos Security Intelligence and Research Group van Cisco. CSP is een mechanisme dat is ontworpen om Cross Site Scripting aanvallen tegen te gaan door servers te whitelisten die als legitieme bronnen gebruikt mogen worden voor de client side webapplicatie code. Onderzoekers van de Cisco hebben echter een manier gevonden om de CSP te omzeilen. Hierbij wordt gebruik gemaakt van een kwaadaardige webpagina die specifiek is geschreven voor een specifieke webbrowser.
‘Serieus probleem’
“Informatie disclosure kwetsbaarheden zijn wellicht niet zo serieus als kwetsbaarheden die de aanvaller in staat stellen op afstand code uit te voeren en aan de browser sandbox te ontsnappen om toegang te krijgen tot en controle over het aangevallen systeem”, schrijft Talos op zijn blog. “XSS aanvallen die een aanvallen in staat stellen vertrouwelijke data te onderscheppen en zelfs een gebruikersaccount over te nemen worden gezien als een serieus probleem. CSP is specifiek ontworpen met het oog op het voorkomen van XSS-aanvallen en stelt de server in staat vertrouwde bronnen die veilig uitgevoerd kunnen worden door een webbrowser te whitelisten.”
Talos wijst erop dat veel ontwikkelaars op CSP vertrouwen om hen te beschermen tegen XSS en andere aanvallen waarbij data kan uitlekken, en erop vertrouwen dat webbrowsers de standaard vertrouwen. De implementatie van CSP binnen verschillende webbrowsers varieert echter en stelt in sommige gevallen aanvallers in staat browserspecifieke code te schrijven om de CSP te omzeilen en de bron van de toegestane code zelf te definiëren.
Meerdere webbrowsers zijn kwetsbaar
De kwetsbaarheid in kwestie is aangetroffen in:
- Google Chrome tot versie 57.0.2987.98 - (CVE-2017-5033)
- iOS tot versie 10.3 - (CVE-2017-2419)
- Apple Safari tot versie 10.1 - (CVE-2017-2419)
- Microsoft Edge
Google en Apple hebben de kwetsbaarheid inmiddels gedicht. Microsoft stelt echter dat de kwetsbaarheid onderdeel is van het ontwerp van Edge en wil het beveiligingslek dan ook niet dichten. Talos adviseert gebruikers een webbrowser te kiezen die het CSP mechanisme volledig ondersteund en waarin alle nieuw ontdekte beveiligingslekken zijn verholpen, inclusief deze nieuw ontdekte kwetsbaarheid.
Dossiers
Meer over
Lees ook
"Bedrijven investeren jaarlijks ruim 92.000 euro voor bijscholing cybersecurityteams"
In het recente onderzoek 'Het portret van de moderne informatiesecurityprofessional' deed Kaspersky onderzoek naar het wereldwijde tekort aan cybersecuritypersoneel. Zo onderzocht het de exacte redenen waarom bedrijven te weinig cybersecuritydeskundigen hebben.
Terugblik met Remco Geerts van Tesorion
InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.
Onderzoek WatchGuard: sterke stijging evasive malware
Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.