Ο ερευνητής ασφαλείας Dylan Ayrey δημοσίευσε την περασμένη εβδομάδα μια νέα μέθοδο hacking, που ονομάζει Pastejacking και χρησιμοποιεί Javascript σαν μέσο επίθεσης.
Η επίθεση Pastejacking, λειτουργεί με τον ίδιο τρόπο που λειτουργούσε μια παλαιότερη επίθεση που χρησιμοποιούσε τα CSS αλλά με Javascript, κάτι που την κάνει πολύ πιο αποτελεσματική.
Η JavaScript είναι πολύ πιο ισχυρή γλώσσα προγραμματισμού και πολύ πιο ευέλικτη από την CSS. Με την παλαιότερη μέθοδο που χρησιμοποιούσε CSS ο χρήστης έπρεπε να κάνει copy-paste ολόκληρο το κακόβουλο κείμενο, ενώ με την Javascript δεν χρειάζεται να επιλέξει ολόκληρο το κείμενο.
Η αντιγραφή ενός μόνο χαρακτήρα είναι αρκετός!
Θεωρητικά, ένας εισβολέας θα μπορούσε να προσθέσει ένα κακόβουλο κώδικα του Ρastejacking Javascript από μια ολόκληρη σελίδα, όταν κάνει μια επικόλληση ακόμα και για κάτι πολύ μικρό σε ένα terminal. Με αυτόν τον τρόπο θα μπορούσε να τρέξει ότι εντολές θέλει χωρίς να καταλάβει κανείς τίποτα.
Ο Dylan Ayrey δημοσίευσε ένα demo, όπου ο εισβολέας τρέχει τον κακόβουλο κώδικά του, καθαρίζει το πρόχειρο του θύματος, και στη συνέχεια προσθέτει τον κώδικα που είχε αντιγράψει το θύμα, κάνοντάς τον να πιστέψει ότι δεν συνέβη τίποτα.
Η επίθεση μπορεί να είναι γίνει πολύ επικίνδυνη ειδικά αν γίνει μέσα από σελίδες τεχνικής υποστήριξης ή phishing emails. Οι χρήστες μπορεί να πιστεύουν ότι είναι αντιγραφή του κώδικα από αυτές τις πηγές είναι αθώα, αλλά στην πραγματικότητα να είναι πολύ επικίνδυνα exploits.
Για να δοκιμάσετε τη νέα αρκετά ύπουλη επίθεση, επισκεφτείτε το PoC και κάντε copy-paste το ακίνδυνο κείμενο σε ένα terminal.
Διαβάστε παραπάνω λεπτομέρειες από το παρακάτω link:
