Sårbarhed på adobe.com: »Fantastisk værktøj for hackere og it-kriminelle«

4. oktober 2019 kl. 05:126
Sårbarhed på adobe.com: »Fantastisk værktøj for hackere og it-kriminelle«
Illustration: shmeljov/Bigstock.
En sårbarhed har gjort det muligt for it-kriminelle at sende godtroende brugere til ondsindede sider via adobe.com.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Opdateret ca. 09:55. Se bunden.

Adobes hjemmeside er ramt af en sårbarhed, der gør det muligt for en angriber at narre et offer ind på en ondsindet hjemmeside via adobe.com

Sårbarhedstypen er nærmere beskrevet af amerikanske Mitre, der driver indekset Common Weakness Enumeration. I indekset kaldes sårbarhedstypen for en 'open redirect.'

Og sådan en sårbarhed gør phishing-angreb lettere for en angriber, fordi en url med et legitimt domæne kan bruges til at sende folk et vilkårligt sted hen.

Artiklen fortsætter efter annoncen

I CWE-indekset er sårbarheden beskrevet således:

»A web application accepts a user-controlled input that specifies a link to an external site, and uses that link in a Redirect. This simplifies phishing attacks.«

Sårbarheden kan udnyttes ved at indsætte et domæne i en url, som umiddelbart ser ud til at pege på adobe.com

Mens linket ser ud til at føre til adobe.com, sender det reelt brugeren videre til det indskudte domæne.

På den måde kan en angriber udnytte brugerens eventuelle tillid til den amerikanske softwarevirksomheds domæne i forsøget på at narre folk ind på et ondsindet site.

Version2 har sendt et eksempel på et manipuleret adobe.com-link til CTO Jacob Herbst i it-sikkerhedsvirksomheden Dubex.

»Det lyder umiddelbart som et fantastisk værktøj for hackere og it-kriminelle til at omgå web-sikkerhedsløsninger og narre godtroende brugere ind på ondsindede websites,« skriver Herbst i en mail.

Det starter med et klik

Succesraten for mangt et cyberangreb beror på, at brugeren klikker på et link i en umiddelbart tilforladelig mail.

Blandt andet derfor er det i udgangspunktet en god idé lige at se på linket, inden der klikkes. Omend ikke andet så man har en idé om, hvad man går ind til. Og her vil mange nok i første omgang se på det domæne, som linket umiddelbart fører til.

Står der eksempelvis adobe.com eller adobe.com.info i starten af url'en?

Men hvis det pågældende domæne indeholder en open redirect-sårbarhed, så kan det være sin sag at gennemskue, hvor et klik fører hen.

»Det er, som jeg husker det, rigtig mange år siden, at man blev opmærksom på det problematiske i open redirects, så lidt overraskende, at Adobe fejler på det her i 2019 - og det på trods af, at Adobe i øvrigt har en notorisk dårlig track-record med alvorlige sårbarheder i deres produkter som Adobe Reader, Flash osv.,« skriver Jacob Herbst fra Dubex.

Hullet er alligevel ikke lukket

Version2 blev opmærksom på sårbarheden via en tråd på Reddit fra 26. september, hvor problemet blev diskuteret.

Vi kontaktede oprindeligt Adobe med en henvisning til tråden 27. september, altså fredag i sidste uge.

Tidligere i denne uge vendte Acrobat, Flash og Photoshop-udgiveren så tilbage med følgende svar fra virksomhedens pressekontakt.

»Adobe is aware of these reports and is working on a technical solution to address the underlying issue.«

Sårbarheden så i første omgang ud til at være lukket, men open redirect-hullet fungerer i skrivende stund stadig periodisk. Takket være læserkommentarer herunder er Version2 blevet opmærksom på, at sårbarheden stadig kan udnyttes.

Tidligere fremgik det af artiklen, at hullet er lukket. Det er ikke tilfældet. Artiklen er opdateret, så dette er afspejlet, ligesom et konkret eksempel på, hvordan hullet kunne udnyttes er fjernet.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
4. oktober 2019 kl. 10:05

Som flere bemærker, er hullet ikke lukket. Sårbarheden kan periodisk udnyttes. Da Version2 første gang testede hullet, kunne sårbarheden umiddelbart udnyttes i hvert forsøg og ikke kun periodisk.

Da hullet ikke er lukket, har vi opdateret artiklen og blandt andet fjernet et konkret eksempel på, hvordan sårbarheden kan udnyttes for ikke at forværre problemet.

Som det fremgår af artiklen blev sårbarheden og detaljer om, hvordan den kan udnyttes offentliggjort og diskuteret i sidste uge på Reddit. Jakob - V2

5
4. oktober 2019 kl. 09:59

Så det ser ud til at i har offentliggjort et hul i et system og givet Adobe en uges varsel? Har i koordineret det med Adobe at i som nyhedsmedier nu har offentliggjort sikkerhedshullet?

Appros piveri; Jeg læste en artikel på politiken.dk om en lastbilchauffør, der pev over hvor svært det var at se sine medtraffikanter i spejlene. Som dokumentation havde han taget et billede der viste, at når solen stod lavt, så kunne man stort set ingenting se i spejlet. Og "det kunne vi godt lige tage og huske på!", mente han.

Der var dog en der hurtigt svarede igen, at hvis man kører rundt i traffikken i en tons tung potentiel dræbermskaine, og man ikke synes man kan gøre det på forsvarlig måde pga. dårlige udsynsforhold, så er der kun en moralsk rigtig at gøre: Kør ind til siden øjeblikkeligt og vent indtil det er forsvarligt at forsætte. Det kan ikke være medtraffikanternes ansvar, at chaufføren/lastbiler ikke kan køre rundt i traffikken på forsvarlig vis!

...og på samme måde med Adobe. Når de bliver gjort opmærksom på, at deres site er til fare (»Fantastisk værktøj for hackere og it-kriminelle«) for den almindelige bruger, så er der kun én rigtig ting at gøre: lukke for adgangen, indtil det er fikset. At det stadig er muligt at udnytte fejlen, fortæller kun hvor moralsk fordærvede de er.

4
4. oktober 2019 kl. 09:27

Jeg har lige prøvet det, 04-10-2019 09:25 og det virker endnu.

2
4. oktober 2019 kl. 09:18

Det er da ikke Version2 der har offentliggjort "hullet", men brugeren /wanderingbilby på Reddit.

1
4. oktober 2019 kl. 08:54

Jeg prøvede at følge URLen som i har skrevet ovenfor og den redirecter noglegange til version2.dk Jeg prøvede også at skifte version2.dk ud med piv.pivpiv.dk (en gammel klassiker) og den så også ud til at virke en gang i mellem.

Så det ser ud til at i har offentliggjort et hul i et system og givet Adobe en uges varsel? Har i koordineret det med Adobe at i som nyhedsmedier nu har offentliggjort sikkerhedshullet?