В Firefox и Tor была RCE уязвимость (CVE-2024-9680)

[dunkel]

Стало известно, что исправленная на прошлой неделе в Firefox уязвимость CVE-2024-9680 могла использоваться против пользователей браузера Tor.

Напомним, что проблема была обнаружена специалистом компании ESET Дэмиеном Шеффером (Damien Schaeffer) и представляла собой проблему use-after-free в Animation timelines. Animation timelines — это часть Firefox Web Animations API, и этот механизм отвечает за управление анимацией и ее синхронизацию на веб-страницах.

Разработчики выпустили экстренный патчи и предупредили, что благодаря этой уязвимости злоумышленник мог добиться выполнения произвольного кода в процессе работы с контентом. Тогда не сообщалось никакой более детальной информации ни о самом баге, ни об атаках, в которых он использовался.

Проблему исправили в следующих версиях браузера: Firefox 131.0.2, Firefox ESR 115.16.1 и Firefox ESR 128.3.1.

Как теперь рассказали в Mozilla, специалисты ESET передали им «боевой» эксплоит для CVE-2024-9680, применявшийся хакерами в реальных атаках.

«Образец, присланный нам ESET, содержал полную цепочку эксплоитов, которая позволяла удаленно выполнить код на компьютере пользователя», — пишут разработчики.

В Mozilla собрали команду, чтобы провести реверс-инжиниринг эксплоита и разобраться в том, как он работает, после чего в течение одного дня подготовили экстренный патч. Представители организации подчеркивают, что продолжат анализ эксплоита, чтобы разработать дополнительные меры защиты для Firefox.

Практически одновременно с этим разработчики Tor сообщили, что, по информации Mozilla, эта уязвимость активно применялась в атаках на пользователей браузера Tor.

«Используя эту уязвимость, злоумышленник мог получить контроль над браузером Tor, но, скорее всего, не смог бы деанонимизировать вас в Tails», — гласило заявление.

Однако позже сообщение в блоге проекта было отредактировано, и представители Tor Project пояснили, что у них нет доказательств того, что пользователи браузера Tor были умышлено атакованы с помощью CVE-2024-9680.
Тем не менее, баг действительно затрагивал браузер Tor, в основе которого лежит Firefox, и разработчики подчеркивают, что проблема устранена в составе Tor Browser версий 13.5.7, 13.5.8 (для Android) и 14.0a9.

мнение? rce при обработке css, то есть работала в торе с noscript

 

[dunkel]

Уязвимость досихпор работает в канале бета релиза thunderbird

 

[FantasticExploits]

Гуглю детали, ищу ПоК. Если кто-то найдет, поделитесь пожалуйста.

 

[dunkel]

Гуглю детали, ищу ПоК. Если кто-то найдет, поделитесь пожалуйста.

Поищи в коде хонипотов в торе : )

 

[solomonfinik]

Поищи в коде хонипотов в торе : )

а что это за штуковины?

use-after-free в Animation timelines

жертве нужно открыть нужную веб страницу с дырявым браузером?

 

[FantasticExploits]

а что это за штуковины?



жертве нужно открыть нужную веб страницу с дырявым браузером?

На сколько я понял, ошибка в обработке анимации (CSS) боевой картинки, без использования JS(!) при загрузке определенной таблици стилей позволяет выполнить произвольный код на удалённой машине, это буквально звучит как связки эксплоитов снова живы. weaver, не попадался тебе сабж?
Соберу линки по теме:
https://www.mozilla.org/en-US/security/advisories/mfsa2024-51/#CVE-2024-9680 - описание
https://developer.mozilla.org/en-US/docs/Web/CSS/animation-timeline - доки
https://learn.snyk.io/lesson/use-after-free/ - немного по теме
nullptr

 

[solomonfinik]

На сколько я понял, ошибка в обработке анимации CSS, без использования JS(!) при загрузке определенной таблици стилей позволяет выполнить произвольный код на удалённой машине, это буквально звучит как связки эксплоитов снова живы. weaver, не попадался тебе сабж?

интересно какие атаки были и какие результы у них... если они заявляют что уже были замечены + 24ч пока делали фикс
иногда такое чувство что уже есть сплоиты под все что угодно и изредко случайно или по ошибке сливают инфу

 

[dunkel]

интересно какие атаки были и какие результы у них

обычно типо таких
мозилле фбр помогает, подсказывает неопытным разрабам там че да как надо сделать, какие молодцы

 

[solomonfinik]

обычно типо таких
мозилле фбр помогает, подсказывает неопытным разрабам там че да как надо сделать, какие молодцы
Посмотреть вложение 96766

думаешь таких дядек ломают сплоитами? а почему они не задумываются что их могут поломать в принципе? сами же крутятся в этой теме и явно крыша есть в госве, есть понимание как это делается
должны же быть у них какие то методы защиты хз, вмами обмазаться, изолировать все что можно

 

[bratva]

думаешь таких дядек ломают сплоитами? а почему они не задумываются что их могут поломать в принципе? сами же крутятся в этой теме и явно крыша есть в госве, есть понимание как это делается
должны же быть у них какие то методы защиты хз, вмами обмазаться, изолировать все что можно

А ты сам задумываешься о том, что тебя могут поиметь НЕ браузерным эксплойтом, а например через клиент твоего любимого мессенджера?

Прости, что я вопросом на вопрос - но уровень осознанности всех рисков очень хуевый даже внутри нашего форума. Даже если доступ будет получен к ВМке (без выхода в хост, а для этого тоже есть эксплойты) - варианты по сбору тех же инкриминирующих доказательств - очень широки. Поэтому необходимо это все обсуждать и доносить до масс.

 

[dunkel]

думаешь таких дядек ломают сплоитами? а почему они не задумываются что их могут поломать в принципе? сами же крутятся в этой теме и явно крыша есть в госве, есть понимание как это делается
должны же быть у них какие то методы защиты хз, вмами обмазаться, изолировать все что можно

У тебя детские представления обо этом. Любой "дядька" это вчерашний школьник. Никакой крыши в гейропе и асашаях нет для такой перхоти как админ даркмаркета, это термин чисто из снг. А держать каждую софтину в отдельной виртуалке - очень тяжело и невозможно работать

 

[solomonfinik]

накинулись дядьки ((
а что делать-то простому народу? доступно только все пошифровать, все повмить, обмазаться прокси и впнами
банки не светить, все за нал

для такой перхоти как админ даркмаркета

а кто был бы не перхоть тогда по такой логике?

Поэтому необходимо это все обсуждать и доносить до масс.

а что доносить? если есть сплоиты под все что можно, то это и токс и жабу и серваки могут ломать переламывать
спасет только то, что у челика нет личной инфы на тачке и за него нельзя зацепиться в ирле

 

[dunkel]

накинулись дядьки ((
а что делать-то простому народу? доступно только все пошифровать, все повмить, обмазаться прокси и впнами
банки не светить, все за нал


а кто был бы не перхоть тогда по такой логике?



а что доносить? если есть сплоиты под все что можно, то это и токс и жабу и серваки могут ломать переламывать
спасет только то, что у челика нет личной инфы на тачке и за него нельзя зацепиться в ирле

Вот https://ru.wikipedia.org/wiki/Qubes_OS неплохое решение (это ос), есть еще другой софт для изоляции/виртуализации/контейнеризации сетевых приложений

 

[solomonfinik]

Вот https://ru.wikipedia.org/wiki/Qubes_OS неплохое решение, есть еще другой софт для изоляции/виртуализации/контейнеризации сетевых приложений

исходим от того, что сплоиты есть под все...

 

[bratva]

исходим от того, что сплоиты есть под все...

Правильно, отсюда и рекомендация - виртуализировать приложение, которое имеет сетевой доступ, чтобы из песочницы эксплойт не вышел. Это не будет являться абсолютно гарантией безопасности, но это будет значительно усложнять работу и на данный момент я не вижу лучшей реализации, если тебе приходится работать с постоянным подключением к сети и с кучей работающего софта. Все остальные решения - специальные.

Однако рекомендуется к прочтению, чтобы ничего не идеализировать: https://www.pentest.es/Demystifying_QubesOS_Security.pdf

 

[verb0]

исходим от того, что сплоиты есть под все...

Чтобы исключить эксплойты направленные на выход из виртуальной машины, можно разнести workstation и gateway по разным физическим машинам. К сожалению существующие инструкции для этого подразумеваеют что гейтвей будет установлен на второй физ машине не в вмке а прям на железо, что не позволяет использовать преимущества временных вмок, разве что иметь много одноразовых дисков с одинаковой копией гейтвея и запускаться каждый раз с нового. В общем возможности для безумных сетапов крайне широки.

Однако рекомендуется к прочтению, чтобы ничего не идеализировать: https://www.pentest.es/Demystifying_QubesOS_Security.pdf

Даже воркстейшены можно разместить по разным физ машинам, а аргумент ув. Рутковска про
But inserting a USB drive or CDROM into a machine triggers a whole lot of
actions: from parsing device-provided information, loading required drivers (for USB), parsing
the driver's partition table, mounting and finally parsing the filesystem.
контрить генерацией QR кодов и их распознаванием через вебку на принимающей машине. Хотя файл так скинуть сложно, да и в софте для распознавания может быть бага.

Отвечая на это:
And what about the “sys-whoonix”? A complete full OS out of control of Qubes OS in charge
of anonymizing everything… pretty interesting target because 1) Has it has some services
running in it that are prone to be exploited 2) It’s not disposable (what is disposable is the
client VM connecting to it) so once trojanized it can be used to do MiTMof very sensible
stuff.
- ничто не мешает сделать любую вм с гв или вс хуниксом disposable. Хотя template для них может быть trojanized во время обновлений к примеру.

Про неутентифицированное использование судо - это дизайн решение авторов Хуникса. Про Xen - просто нет ресурсов чтобы ещё и с ним что-то делать, я думаю.

Dom0 update is fetching packages from a very exposed VM
(sys-firewall) because this one is connected also to all the AppVMs!!! So, once you
compromise an AppVM you have direct access to the networking stack of
sys-firewall and any Linux Kernel TCP/IP stack remote 0day can be used to take
control of sys-firewall and this will give the attacker a DIRECT interface to Dom0 as
Dom0 has a direct interaction via Xen shared memory to sys-firewall to get the
packages for update. Get a 0day in RPM packaging or an error in how Qubes
handles those updates and Game Over.
Ничто не мешает создать несколько файрволл-вмок и зароутить сус-хуникс (и вообще каждый гейтвей) в отдельный файрволл вм. Но каждый файрволл-вм будет законнекчен в тот же sys-net если только не выдать на каждый sys-net по отдельному девайсу для интернета.

В целом критика валидна.

UPD: https://www.mail-archive.com/qubes-devel@googlegroups.com/msg05006.html ответ лид разраба кубов... В мейлинг листе...

 

[weaver]

https://blog.mozilla.org/security/2...scenes-fixing-an-in-the-wild-firefox-exploit/

Ну в обще тут говорится что им ESET передал эксплойт. Есть предположение что семпл валяется на virustotal, но это не точно.

https://dimitrifourny.github.io/2024/11/14/firefox-animation-cve-2024-9680.html

А тут анализ ...

 

[UnixSoft]

Кстати очень хороший эксплойт, если заметили тут не слово о песочнице весь код сработал в изолированной среде.
Шеллкод работает через обход DEP/NX, через ROP что сейчас редко встретишь в браузере, также полный контроль над ASLR
Мы уже привыкли создавать цепочку уязвимостей, выйти из песочницы--> получить доступ контроль памяти (грубо говоря)----выполнить шеллкод с привилегиями

Здесь же все же возможности в данном примере будут ограничены песочницей и выполнить любой код он все же не может , тоесть вызвать системные функции.

 

[TwistedJustice]

обычно типо таких
мозилле фбр помогает, подсказывает неопытным разрабам там че да как надо сделать, какие молодцы
Посмотреть вложение 96766

> How's your OpSec?
Прекрасно. Вы заразили виртуалку. Дальше что?

 

[dunkel]

Дальше что?

танцую брейкданс