Исследователи-безопасники постоянно твердят пользователям не использовать одни и те же пароли для разных учетных записей, но послание зачастую попадает в глухие уши. Теперь же представители Mozilla обнаружили, что и продвинутые пользователи не всегда следуют этому совету, — некий злоумышленник смог скомпрометировать учетную запись пользователя Bugzilla, используя пароль, полученный при взломе другого сайта.

Вероятно, злоумышленник знал, кого атаковать, так как целью был привилегированный пользователь, имевший ограниченный доступ к важной информации о багах безопасности в продуктах Mozilla. Bugzilla — система отслеживания багов, используемая Mozilla для ее различных проектов. Хотя большая часть информации оттуда публична, кое-что остается закрытым. Прежде всего это информация об уязвимостях системы безопасности, находящихся в процессе исправления либо в процессе оценки (такие сведения остаются конфиденциальными до момента появления патча либо до принятия компанией решения не исправлять эту уязвимость).

Представители Mozilla заявили, что данный злоумышленник мог иметь доступ к учетной записи жертвы еще с сентября 2013 года. Наиболее ранний подтвержденный случай доступа был в сентябре 2014 года. Получив в свое распоряжение учетные данные жертвы, хакер мог украсть информацию об уязвимости Firefox, которую Mozilla исправила в прошлом месяце, уже после того, как был обнаружен эксплойт для нее.

«Учетная запись, взломанная злоумышленником, была заблокирована вскоре после того, как Mozilla обнаружила, что она была скомпрометирована. Мы считаем, что хакер использовал информацию из Bugzilla для эксплуатации уязвимости, которую мы закрыли 6 августа. Нет признаков того, что какие-либо другие сведения, полученные злоумышленником, были использованы против пользователей Firefox. Релиз Firefox от 27 августа исправил все уязвимости, о которых хакер узнал и которые он мог использовать во вред пользователям Firefox», — сообщил в блоге Ричард Барнс (Richard Barnes) из Mozilla.

Баг, информацию о котором, как считают представители Mozilla, украл злоумышленник, был исправлен 6 августа. Он крылся в способе, которым браузер в некоторых случаях исполнял политику одного источника. Mozilla обнаружила баг после того, как пользователь был скомпрометирован через него после посещения российского новостного сайта, содержащего рекламные баннеры с кодом эксплойта.

Представители Mozilla заявили, что злоумышленник, получивший доступ к системе Bugzilla, мог иметь доступ к 185 различным багам, включая 53 серьезные уязвимости безопасности. Хорошая новость в том, что 43 из этих 53 изъянов уже были исправлены на момент попадания в руки хакера. Но оставшиеся 10 все еще можно было эксплуатировать.

Из FAQ Mozilla об этой атаке:

«Для оставшихся 10 багов у злоумышленника было некоторое временное окно между тем, как он получил к ним доступ, и тем, как они были исправлены в Firefox:

для 2 багов менее 7 дней;

для 5 багов между 7 и 36 днями;

для 3 багов более 36 дней (131 день, 157 дней, 335 дней)».

Компания заявила, что, хотя злоумышленник мог использовать эти уязвимости для атак на пользователей, единственная известная атака проводилась путем эксплуатации бага, исправленного в прошлом месяце.

«Технически возможно, что один из этих багов был использован против пользователей Firefox в течение окна уязвимости. Один из багов, открытый менее 36 дней, был использован в атаке, но он был исправлен 6 августа 2015 года. Помимо этой атаки, у нас нет данных, свидетельствующих о том, что украденные баги были эксплуатированы», — говорится в FAQ.

Категории: Уязвимости, Хакеры