Sårbarhed på adobe.com: »Fantastisk værktøj for hackere og it-kriminelle«

Illustration: Virrage Images/Bigstock
En sårbarhed har gjort det muligt for it-kriminelle at sende godtroende brugere til ondsindede sider via adobe.com.

Opdateret ca. 09:55. Se bunden.

Adobes hjemmeside er ramt af en sårbarhed, der gør det muligt for en angriber at narre et offer ind på en ondsindet hjemmeside via adobe.com

Sårbarhedstypen er nærmere beskrevet af amerikanske Mitre, der driver indekset Common Weakness Enumeration. I indekset kaldes sårbarhedstypen for en 'open redirect.'

Og sådan en sårbarhed gør phishing-angreb lettere for en angriber, fordi en url med et legitimt domæne kan bruges til at sende folk et vilkårligt sted hen.

I CWE-indekset er sårbarheden beskrevet således:

»A web application accepts a user-controlled input that specifies a link to an external site, and uses that link in a Redirect. This simplifies phishing attacks.«

Sårbarheden kan udnyttes ved at indsætte et domæne i en url, som umiddelbart ser ud til at pege på adobe.com

Mens linket ser ud til at føre til adobe.com, sender det reelt brugeren videre til det indskudte domæne.

På den måde kan en angriber udnytte brugerens eventuelle tillid til den amerikanske softwarevirksomheds domæne i forsøget på at narre folk ind på et ondsindet site.

Version2 har sendt et eksempel på et manipuleret adobe.com-link til CTO Jacob Herbst i it-sikkerhedsvirksomheden Dubex.

»Det lyder umiddelbart som et fantastisk værktøj for hackere og it-kriminelle til at omgå web-sikkerhedsløsninger og narre godtroende brugere ind på ondsindede websites,« skriver Herbst i en mail.

Det starter med et klik

Succesraten for mangt et cyberangreb beror på, at brugeren klikker på et link i en umiddelbart tilforladelig mail.

Blandt andet derfor er det i udgangspunktet en god idé lige at se på linket, inden der klikkes. Omend ikke andet så man har en idé om, hvad man går ind til. Og her vil mange nok i første omgang se på det domæne, som linket umiddelbart fører til.

Står der eksempelvis adobe.com eller adobe.com.info i starten af url'en?

Men hvis det pågældende domæne indeholder en open redirect-sårbarhed, så kan det være sin sag at gennemskue, hvor et klik fører hen.

»Det er, som jeg husker det, rigtig mange år siden, at man blev opmærksom på det problematiske i open redirects, så lidt overraskende, at Adobe fejler på det her i 2019 - og det på trods af, at Adobe i øvrigt har en notorisk dårlig track-record med alvorlige sårbarheder i deres produkter som Adobe Reader, Flash osv.,« skriver Jacob Herbst fra Dubex.

Hullet er alligevel ikke lukket

Version2 blev opmærksom på sårbarheden via en tråd på Reddit fra 26. september, hvor problemet blev diskuteret.

Vi kontaktede oprindeligt Adobe med en henvisning til tråden 27. september, altså fredag i sidste uge.

Tidligere i denne uge vendte Acrobat, Flash og Photoshop-udgiveren så tilbage med følgende svar fra virksomhedens pressekontakt.

»Adobe is aware of these reports and is working on a technical solution to address the underlying issue.«

Sårbarheden så i første omgang ud til at være lukket, men open redirect-hullet fungerer i skrivende stund stadig periodisk. Takket være læserkommentarer herunder er Version2 blevet opmærksom på, at sårbarheden stadig kan udnyttes.

Tidligere fremgik det af artiklen, at hullet er lukket. Det er ikke tilfældet. Artiklen er opdateret, så dette er afspejlet, ligesom et konkret eksempel på, hvordan hullet kunne udnyttes er fjernet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

Jeg prøvede at følge URLen som i har skrevet ovenfor og den redirecter noglegange til version2.dk
Jeg prøvede også at skifte version2.dk ud med piv.pivpiv.dk (en gammel klassiker) og den så også ud til at virke en gang i mellem.

Så det ser ud til at i har offentliggjort et hul i et system og givet Adobe en uges varsel? Har i koordineret det med Adobe at i som nyhedsmedier nu har offentliggjort sikkerhedshullet?

  • 0
  • 2
Thomas Jensen

Så det ser ud til at i har offentliggjort et hul i et system og givet Adobe en uges varsel? Har i koordineret det med Adobe at i som nyhedsmedier nu har offentliggjort sikkerhedshullet?

Appros piveri; Jeg læste en artikel på politiken.dk om en lastbilchauffør, der pev over hvor svært det var at se sine medtraffikanter i spejlene. Som dokumentation havde han taget et billede der viste, at når solen stod lavt, så kunne man stort set ingenting se i spejlet. Og "det kunne vi godt lige tage og huske på!", mente han.

Der var dog en der hurtigt svarede igen, at hvis man kører rundt i traffikken i en tons tung potentiel dræbermskaine, og man ikke synes man kan gøre det på forsvarlig måde pga. dårlige udsynsforhold, så er der kun en moralsk rigtig at gøre: Kør ind til siden øjeblikkeligt og vent indtil det er forsvarligt at forsætte. Det kan ikke være medtraffikanternes ansvar, at chaufføren/lastbiler ikke kan køre rundt i traffikken på forsvarlig vis!

...og på samme måde med Adobe. Når de bliver gjort opmærksom på, at deres site er til fare (»Fantastisk værktøj for hackere og it-kriminelle«) for den almindelige bruger, så er der kun én rigtig ting at gøre: lukke for adgangen, indtil det er fikset. At det stadig er muligt at udnytte fejlen, fortæller kun hvor moralsk fordærvede de er.

  • 7
  • 0
Jakob Møllerhøj Editor

Som flere bemærker, er hullet ikke lukket. Sårbarheden kan periodisk udnyttes. Da Version2 første gang testede hullet, kunne sårbarheden umiddelbart udnyttes i hvert forsøg og ikke kun periodisk.

Da hullet ikke er lukket, har vi opdateret artiklen og blandt andet fjernet et konkret eksempel på, hvordan sårbarheden kan udnyttes for ikke at forværre problemet.

Som det fremgår af artiklen blev sårbarheden og detaljer om, hvordan den kan udnyttes offentliggjort og diskuteret i sidste uge på Reddit. Jakob - V2

  • 1
  • 0
Log ind eller Opret konto for at kommentere