(原標題:Pastejacking - CTRL+V粘貼劫持攻擊)
感謝E安全的投遞
安全研究人員可以使用CSS附加惡意內容至剪貼板,而不必通知用戶,最終誘騙他們執行不需要的終端命令。此類攻擊就是眾所周知的剪貼板劫持。在大多數情況下,它是無效的,除非用戶在終端內複製內容。安全研究人員Dylan Ayrey上周發布了剪貼板劫持的最新版本,該攻擊是將Java作為攻擊媒介,而非CSS。
這種攻擊被稱之為粘貼劫持,他的概念驗證攻擊原理與舊版CSS漏洞利用一致,但略有不同。
Ayrey解釋稱,不同點在於事件後文本可以被複製,事件後也可以複製在短定時器上,並且易於複製十六進位字符至剪貼板,其可以用於開發VIM。
他還表示,Java讓此類攻擊難以識別且難以中止。
與CSS相較,Java功能更強大且更全能,這類攻擊就體現無遺。CSS要求用戶必須複製-粘貼整個惡意文本,而Java更具欺騙性。
用戶甚至不必選擇整個惡意文本,一個字符就夠。理論上講,攻擊者可以添加惡意粘貼劫持Java代碼至整個頁面,並且當用戶在控制臺內粘貼任何內容,他們可能就潛伏在你背後偷偷摸摸運行命令。
Ayrey甚至提供了演示視頻,展示攻擊者運行惡意代碼、清除控制臺並附加用戶複製的代碼的過程,讓普通網民認為並無異常。
如果與技術支持頁面或釣魚郵件有關聯,此攻擊也許會帶來非常嚴重的後果。用戶可能認為他們正複製正常的文本至控制臺,然而事實上,他們正中了惡意攻擊者的圈套。
因為終端命令會自動執行,用戶甚至不必按下Enter鍵便可執行惡意代碼,CTRL+V足矣。