Khai thác Cookie trình duyệt để bypass HTTPS và đánh cắp thông tin riêng tư

Trung tâm ứng cứu sự cố máy tính Hoa Kỳ (CERT) vừa mới phát hiện ra tất cả các công ty cung cấp trình duyệt web đều cài đặt chuẩn RFC 6265 không đúng. Lỗ hổng nghiêm trọng trong cài đặt “Browser Cookies” cho phép tin tặc từ xa bypass giao thức bảo mật HTTPS và xâm nhập dữ liệu phiên làm việc riêng tư của người dùng.

Cookie là một dữ liệu nhỏ được gửi từ website tới trình duyệt web, chứa rất nhiều thông tin sử dụng nhằm xác định người dùng hoặc chứa bất kì thông tin liên quan đến một website cụ thể.

Lỗ hổng HTTPS Cookie Injection

Bất cứ khi nào một website (mà bạn vừa truy cập) muốn đưa cookie vào trình duyệt của bạn, nó sẽ phải thông qua một header “Set-Cookie” với thông số tên, giá trị và một vài tùy chọn khác bao gồm thời gian hết hạn và tên miền khả dụng.

Điều đáng chú ý là các trang web HTTP không mã hóa header và giải quyết vấn đề này bằng cách sử dụng HTTPS cookies với “secure flag“, nhằm xác định rằng cookie này phải được gửi (từ trình duyệt đến server) thông qua một kết nối HTTPS bảo mật.

Tuy nhiên, các nhà nghiên cứu cho biết, hầu hết các trình duyệt thông dụng hiện nay đều chấp nhận cookie thông qua HTTPS, thậm chí không thẩm định nguồn của HTTPS cookie (cookie forcing). Điều này cho phép tin tặc man-in-the-middle trong có thể lây nhiễm khai thác cookie độc hại. Với một trình duyệt không được bảo vệ, tin tặc thiết đặt HTTPS cookie giả mạo một website khác và ghi đè vào HTTPS thực mà người dùng không thể nhận biết được. HTTPS cookie độc hại được kiểm soát bởi tin tặc, cho phép can thiệp và thu thập thông tin phiên làm việc.

Các trình duyệt bị ảnh hưởng bao gồm:

• Apple Safari
• Mozilla Firefox
• Google Chrome
• Microsoft Internet Explorer
• Microsoft Edge
• Opera

Tin tốt là các nhà cung cấp trình duyệt hiện đã sửa chữa lỗ hổng. Người dùng được khuyến cáo nâng cấp phiên bản mới nhất trình duyệt web. Webmaster nên triển khai  HSTS (HTTP Strict Transport Security) trên tên miền của mình.

THN