"DoubleClickjacking" adlı yeni bir tıklama saldırısı varyasyonu, saldırganların kullanıcıları bu tür saldırılara karşı mevcut korumaları atlarken çift tıklamaları kullanarak hassas eylemleri yetkilendirmelerini sağlar.
UI düzeltme olarak da bilinen ClickJacking, tehdit aktörlerinin ziyaretçileri gizli veya gizlenmiş web sayfası öğelerini tıklamaya yönlendiren kötü niyetli web sayfaları oluşturmasıdır.
Saldırılar, saldırganlar tarafından oluşturulan bir web sayfası üzerinden gizli bir IFrame'de meşru bir web sayfasını kaplayarak çalışır. Saldırgan tarafından oluşturulan bu web sayfası, düğmelerini ve bağlantılarını gizli IFrame'deki bağlantılar ve düğmelerle hizalamak için tasarlanmıştır.
Saldırganlar daha sonra web sayfalarını bir kullanıcıyı bir ödül kazanmak veya sevimli bir resmi görüntülemek gibi bir bağlantıya veya düğmeye tıklamaya ikna etmek için kullanırlar.
Bununla birlikte, sayfayı tıkladıklarında, bir OAuth uygulamasının hesaplarına bağlanmak için yetkilendirilmesi veya bir MFA isteği kabul etmek gibi kötü niyetli işlemleri gerçekleştirebilen gizli IFrame (meşru site) üzerindeki bağlantıları ve düğmelere tıklıyorlar. .
Yıllar geçtikçe, web tarayıcısı geliştiricileri, bu saldırıların çoğunu önleyen yeni özellikler, çerezler arası siteler arası gönderilmesine izin vermemeye veya sitelerin iframedilip verilemeyeceğine dair güvenlik kısıtlamaları (X-Frame-Options veya Frame-ANCESTORS) getirme gibi yeni özellikler getirdi.
Siber güvenlik uzmanı Paulos Yibelo, kullanıcıları web sitelerinde hassas eylemler gerçekleştirmek için kandırmak için fare çift tıklamalarının zamanlamasından yararlanan DoubleClickjacking adlı yeni bir web saldırısı tanıttı.
Bu saldırı senaryosunda, bir tehdit oyuncusu, ödülünüzü izlemek veya bir film izlemek için "BURAYA TIKLAYIN" gibi bir cazibeli görünüşte zararsız bir düğme gösteren bir web sitesi oluşturacaktır.
Ziyaretçi düğmeyi tıkladığında, orijinal sayfayı kapsayan ve devam etmek için bir captcha'yı çözmek zorunda gibi başka bir cazibe içeren yeni bir pencere oluşturulacaktır. Arka planda, orijinal sayfadaki JavaScript, bu sayfayı saldırganların bir kullanıcıyı bir eylem gerçekleştirmesi için kandırmak istediği meşru bir siteye değiştirecektir.
Yeni, üst üste binen penceredeki captcha, ziyaretçiyi captcha'yı çözmek için sayfadaki bir şeyi çift tıklamasını ister. Bununla birlikte, bu sayfa Mousedown etkinliğini dinler ve algılandığında, Captcha kaplamasını hızla kapatır ve ikinci tıklamanın, daha önce gizli meşru sayfadaki şimdi açıklanmış yetkilendirme düğmesine veya bağlantısına inmesine neden olur.
Bu, kullanıcının maruz kalan düğmeye yanlışlıkla tıklamasına, bir eklentinin yüklenmesini potansiyel olarak yetkilendirmesine, hesaplarına bağlanmak için bir OAuth uygulamasına veya çok faktörlü bir kimlik doğrulama istemini kabul etmesine neden olur.
Bunu bu kadar tehlikeli kılan şey, bir iframe kullanmadığı için tüm mevcut tıklama savunmalarını atlamasıdır, çerezleri başka bir alana geçirmeye çalışmaz. Bunun yerine, eylemler doğrudan korunmayan meşru sitelerde gerçekleşir.
Yibelo, bu saldırının neredeyse her siteyi etkilediğini ve Shopify, Slack ve Salesforce hesaplarını devralmak için DoubleClickjacking kullanan gösteri videolarını paylaştığını söylüyor.
Araştırmacı ayrıca, tarayıcı uzantıları için de kullanılabileceği için saldırının web sayfalarıyla sınırlı olmadığı konusunda da uyarıyor.
Yibelo, "Örneğin, Web3 işlemlerini ve DAPP'leri yetkilendirmek veya VPN'yi IP vb. Durdurmak için devre dışı bırakmak için bu tekniği kullanan en üst tarayıcı kripto cüzdanlarına kavramların kanıtını yaptım."
"Bu, Cep telefonlarında Target'ı 'DoubleBleTap' isteyerek de yapılabilir."
Bu tür saldırılara karşı korumak için Yibello, bir jest yapılana kadar hassas düğmeleri devre dışı bırakmak için web sayfalarına eklenebilen JavaScript'i paylaştı. Bu, saldırganın kaplamasını kaldırırken çift tıklamanın yetkilendirme düğmesine otomatik olarak tıklamasını önleyecektir.
Araştırmacı ayrıca, bir çift tıkla sırası sırasında pencereler arasında hızlı bağlam değiştirmeyi sınırlayan veya engelleyen potansiyel bir HTTP başlığı önermektedir.
Milyonlarca WordPress sitesindeki güvenlik eklentisi kusuru, yönetici erişimi sağlar
CISA, kritik Palo Alto Networks hatası saldırılarda sömürüldü
Kaynak: Bleeping Computer