Tìm hiểu phương thức tấn công Clickjacking 2.0

Lê Tuấn Anh

Quản Trị Mạng - Tại cuộc hội thảo hacker - Black Hat Europe vừa mới kết thúc tại Barcelona, chuyên gia bảo mật người Anh - Paul Stone đã trình diễn 1 phương thức tấn công hoàn toàn mới của clickjacking attack.

Clickjacking có liên quan đến 1 trang web được chuẩn bị thủ công bằng cách tự động chèn thêm 1 module “tàng hình” iFrame bên dưới hoạt động của con trỏ chuột. Khi người sử dụng thao tác trên 1 trang web nào đó, nhưng thực tế họ lại đang tương tác với website khác bằng các thành phần được điều khiển thông qua iFrame.

Bài trình diễn của Stone không giới hạn số lượng kích chuột, có thể điền giá trị text và form, đọc văn bản đang được mở trên trình duyệt của nạn nhân hoặc các trang web nguồn khác. Đồng thời Stone cũng tận dụng tối đa khả năng kéo – thả, được cung cấp bởi hàm API, hiện nay đã được trang bị trong hầu hết các trình duyệt hiện nay như Internet Explorer, Firefox, Chrome và Safari. Bên cạnh việc “chỉ định” nạn nhân kích vào những đối tượng được điểu khiển sẵn, Stone còn trình diễn khả năng “điều khiển” người sử dụng kéo 1 đối tượng bất kỳ, 1 chuỗi ký tự text từ cửa sổ hoặc form có sẵn vào 1 module “vô hình” nào đó.

Điều này có thể được giải thích như sau, người sử dụng đăng nhập vào 1 trang xã hội hoặc 1 trang web nào đó, khi mở tiếp 1 trang web từ trang nguồn này thông qua 1 khung hình ẩn được dựng sẵn, tất nhiên người sử dụng không hề biết được sự tồn tại này. Theo ý kiến của Stone, chính sách hoạt động theo cùng nguồn gốc của các trình duyệt không thể hiện nhiều hành động phản kháng trong tình cảnh này, và các thành phần trong trang web đó sẽ tự động bị chuyển đổi từ site bất kỳ sang site được dựng sẵn dựa vào hành động “vô tình” của người sử dụng. Sử dụng phương pháp này, Stone có thể phá vỡ những hạn chế nhằm ngăn chặn giả mạo những yêu cầu tương tự như cross-site.

Ngược lại, tính năng kéo – thả còn được sử dụng để sao chép nội dung từ cửa sổ của người sử dụng sang cửa sổ làm việc của kẻ tấn công. Cũng theo Stone, điều này có thể được sử dụng để truy cập vào mã HTML của trang web, bao gồm các hàm ID hoặc chuỗi nhận dạng token. Và thông qua cơ chế này, kẻ tấn công sẽ dễ dàng chèn thêm các hàm điều khiển khác.
Các cuộc tấn công như vậy ngày càng trở nên tinh vi khi Java và mã Javascript được nhúng vào hệ thống. Cũng theo Stone, hàm kéo – thả API của Java còn mạnh hơn so với của trình duyệt. Lợi dụng điểm này, những kẻ tấn công sẽ phân chia và đánh dấu văn bản dưới dạng text bằng cách kéo – thả nội dung chỉ với 1 cú click duy nhất. Khi kết hợp tính năng này với với các phương thức tấn công khác thông qua Javascript, có thể đặt lệnh kéo thả tại bất cứ thời điểm nào, ngay cả khi con trỏ chuột chưa di chuyển đến các vị trí được chỉ định bởi Java applet hoặc khi nạn nhân không nhấn và giữ phím chuột trái.

Bên cạnh đó, Java còn hỗ trợ tính năng tự động điền mẫu nhanh hơn. Thay cho việc phải chờ từng hành động kích chuột của nạn nhân, kẻ tấn công có thể hoàn thành form nội dung chỉ trong 1 thao tác duy nhất. “Spraying”, cách gọi vắn tắt của phương thức này, có thể hoạt động trong nền tảng Windows và Mac OS X, nhưng không thể áp dụng đối với Linux.

Tuy nhiên, những kiểu tấn công này có thể bị chặn bởi những hệ thống web server tin cậy, khi gửi đi yêu cầu với nội dung "X-FRAME-OPTIONS: DENY" đến header của 1 trình duyệt bất kỳ nào đó, điều này sẽ bảo vệ và cho phép trang web hiển thị trong 1 khung (frame) duy nhất. Tuy nhiên, chỉ có các phiên bản trình duyệt mới nhất hiện nay như Internet Explorer 8, Safari 4 và Chrome 2 mới có khả năng “nhận thấy” tùy chọn này, có thể Mozilla Firefox sẽ được trang bị tính năng này trong 1 thời gian không xa. Stone cũng chỉ ra rằng, đối với những trang web có lưu lượng truy cập lớn hoặc rất lớn như facebook.com, googlemail.com và twitter.com đã có thể chống lại nạn clickjacking, nhưng bên cạnh đó, theo nhận định của các chuyên gia bảo mật khác, các phiên bản dành cho mobile hoặc smartphone của các trình duyệt này cũng đã được tối ưu hóa với mức cao nhất để phòng tránh nguy cơ bị tấn công qua clickjacking.

Gần đây, Stone đã đưa ra công cụ để giúp các nhà phát triển hiểu thêm về cơ chế hoạt động của clickjacking. Công cụ này minh họa đầy đủ quá trình và các module thực hiện của cơ chế tấn công clickjacking, bao gồm cả cách cổ điển và hiện đại.