伯努瓦·哈蒙 (Benoît Hamon) 競選網站的時事通訊系統中存在漏洞,使得插入看不見或已知的惡意程式碼成為可能,這些程式碼隨後可以在接收活動人士的電腦上執行。
電腦漏洞可能隱藏在網路使用者無法想像的角落。最新的例子:總統候選人伯努瓦·哈蒙的「時事通訊」空間。在政治家的官方入口網站 benoithamon2017.fr 上,您可以透過一個空間訂閱透過電子郵件分發的電子報。
若要接收此郵件,您必須輸入姓名、部門和電子郵件地址。然而,有可能將潛在的惡意 Javascript 程式碼注入到其中一些欄位中。該海盜命令隨後將嵌入到伯努瓦·哈蒙 (Benoît Hamon) 競選團隊發送的官方電子郵件中。收件人只看到火,因為他收到了來自完全合法寄件者的電子郵件。下面是證明該漏洞被利用的截圖。
為什麼這麼嚴重?攻擊者可以造訪 Benoît Hamon 的網站,並透過整合其惡意程式碼直接為其目標訂閱新聞通訊。其餘的將由社會主義候選人的平台自動完成。攻擊者還可以使用自己的地址進行註冊,並檢索被捕獲新聞通訊的 URL,以其他方式將其分發到目標,例如將其插入文件或透過 Twitter。同樣,收件人很難懷疑有惡意行為,因為 URL 完全有效。在網路釣魚方面,我們很難做得更好。
這種偷偷摸摸的電腦攻擊可以向郵件接收者的電腦注入病毒、勒索軟體、顯示「假新聞」或執行任何其他惡意操作。這種攻擊技術還可以攔截讀者的 IP 位址或恢復他們機器上保存的最後一個 cookie。它可以在 Firefox、Chrome、Edge、Opera 瀏覽器甚至匿名瀏覽器 Tor 瀏覽器上運行。
自上週日以來,我們已透過電子郵件和 Twitter 多次聯繫伯努瓦哈蒙的競選團隊。我們在周二晚上收到了第一個回饋,但該缺陷尚未得到糾正。考慮到操作的方便性,我們決定公開。
