immagine-preview

Set 12, 2018

Utenti Tor in pericolo, Zerodium pubblica un codice per sfruttare la falla

L'exploit pubblicato da Zerodium consente di eludere la protezione implementata dall’estensione NoScript. L'ultima versione di Tor Browser 8 non è affetta dal problema, dunque gli utenti devono aggiornare le loro versioni più vecchie il prima possibile

La notizia è che il broker di Zero-day Zerodium ha reso pubblico il codice per sfruttare una vulnerabilità nel component NoScript utilizzato nel popolare Tor Browser. Secondo gli esperti la falla può consentire ad un attaccante di eseguire codice Javascript all’interno del browser.

Cosa è un broker di Zero-Day e cosa è NoScript?

 

Partiamo dal concetto di broker di Zero-day, chiarendo che esistono aziende nel settore della sicurezza informatica che una volta acquisita la conoscenza di una falla in un sistema rivendono il codice per sfruttarla ai propri clienti. Ufficialmente i clienti possono esser solo Governi ed agenzie di intelligence che utilizzano il codice per compromettere sistemi nel corso delle loro indagini su organizzazioni criminali di vario genere e terroristi. Di aziende simili ne esistono diverse e sono state spesso criticate per avere offerto il proprio supporto a governi totalitari che hanno utilizzato i loro codici per spiare dissidenti e oppositori ai loro regimi.

 

NoScript invece è una popolare estensione per il browser Firefox che protegge gli utenti dagli script dannosi, il codice consente solo l’esecuzione di script JavaScript, Java e Flash su siti Web ritenuti affidabili. Zerodium ha scoperto che una vulnerabilità nel componente NoScript può essere sfruttata per eseguire codice JavaScript arbitrario all’interno del Tor Browser basato su Mozilla Firefox. La falla consente l’esecuzione di script anche se il browser è impostato per utilizzare il livello massimo di sicurezza.

 

In pratica l’exploit pubblicato da Zerodium consente di eludere la protezione implementata dall’estensione NoScript. Precisiamo quindi che difetto quindi non risiede del browser Tor, bensì nell’estensione NoScript di Firefox. Di seguito il Tweet pubblicato da Zerodium che include il codice per lo sfruttamento della vulnerabilità.

Un altro esperto che utilizza l’account Twitter @x0rz ha pubblicato un Tweet in cui mostra quanto è semplice sfruttare il codice rivelato da Zerodium.

Ritorniamo quindi al componente vulnerabile, l’estensione NoScript, che è stata sviluppata dall’hacker italiano Giorgio Maone, il quale solo dopo due ore la divulgazione della notizia della falla ha rilasciato una nuova versione 5.1.8.7 che risolve il problema.

 

L’ultima versione di Tor Browser 8 non è affetta dal problema, ciò significa che gli utenti devono aggiornare le loro versioni più vecchie il prima possibile. Maone ha spiegato che è interessato solo il ramo “Classic” di NoScript 5. Secondo l’esperto il problema è stato introdotto a maggio 2017 con il rilascio di della versione di NoScript 5.0.4.

Il team del Tor Project ha sottolineato che questo bug non è una falla zero-day nel Tor Browser, bensì un problema di NoScript. “Questo è un bug in NoScript e non un exploit zero-day di Tor Browser che poteva eludere le sue protezioni sulla privacy. Per bypassare Tor, sarebbe comunque necessario un vero exploit del browser “, ha spiegato un rappresentante del progetto Tor.

Leggi anche: Kick back – Gli esperti di Yoroi sventano un attacco alle aziende italiane

“Se un utente imposta il livello di sicurezza del browser Tor su ‘Safest’ per bloccare gli JavaScript da tutti i siti Web (ad esempio per impedire exploit del browser o la raccolta di dati), l’exploit consentirebbe a un sito Web o a un servizio nascosto di ignorare tutte le restrizioni implementate da NoScript ed eseguire qualsiasi codice JavaScript nonostante il livello massimo di sicurezza utilizzato, rendendolo totalmente inefficace “, ha dichiarato Chaouki Bekrar, CEO di Zerodium.

 

Bekrar ha confermato di aver acquisito la vulnerabilità zero-day “molti mesi fa” e di aver condiviso il codice exploit con le forze dell’ordine e con i clienti governativi. La brutta notizia è che Bekrar ha confermato di aver acquistato anche un vero “exploit Tor di fascia alta” all’interno del programma di bug bounty lanciato dall’azienda. A settembre Zerodium ha annunciato che avrebbe pagato fino a 1 milione di dollari per exploit zero-day completamente funzionanti per il Tor Browser su distribuzioni Linux Tails e sistemi operativi Windows.

Leggi anche: Microsoft contro hacker di stato: un nuovo Russiagate?

Bekrar ha sottolineato che gli exploit sono stati utilizzati dai suoi clienti per “combattere la criminalità e gli abusi sui minori e rendere il mondo un posto migliore e più sicuro per tutti”. Non ci resta che sperare che il codice non finisca nelle mani di governi totalitari e sanguinari regimi.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter