Clipboard hijack attack

Wat is een clipboard hijack attack?

Een clipboard hijacking is een exploit waarbij de aanvaller de controle krijgt over het klembord van het slachtoffer en de inhoud vervangt door eigen gegevens, zoals een link naar een kwaadaardige website.

De aanval maakt het voor gebruikers onmogelijk om nog iets naar het klembord te kopiëren totdat ze de browser sluiten of de machine opnieuw opstarten. Afgezien van de storende factor is het gevaar dat een gebruiker de ingevoegde inhoud onbedoeld in zijn browser of in online-inhoud plakt, waardoor hij zichzelf of anderen blootstelt aan kwaadaardige code.

In augustus 2008 waren er meldingen van klembordkapingaanvallen die werden uitgevoerd via Adobe Flash-gebaseerde advertenties op veel legitieme websites, waaronder Digg, Newsweek en MSNBC.com. De codering bevindt zich in Shockwave-bestanden en maakt gebruik van een methode genaamd System.setClipboard() die de inhoud van het klembord herhaaldelijk doorspoelt en vervangt. Als gebruikers de ingevoegde link volgen, worden ze naar een nepsite met beveiligingssoftware gebracht die hen waarschuwt dat hun systemen zijn besmet met malware. Het doel van de aanval is om gebruikers frauduleuze software te laten downloaden, waarbij persoonlijke gegevens gevaar lopen. Alle belangrijke besturingssystemen en browsers zijn kwetsbaar voor de aanvallen, mits Flash is geïnstalleerd.

Adobe heeft inmiddels aangekondigd dat het in de volgende versie van Flash een mechanisme zal toevoegen waarmee gebruikers toegang kunnen verlenen of weigeren wanneer een Shockwave-bestand probeert gegevens naar het klembord te laden.

Meer informatie over IT:
> BBC News berichtte over de Flash-klembordkapingaanvallen.
> PC Magazine's Security Watch blog heeft meer informatie over klembordkaping.
> De Spyware Sucks blog behandelt klembordkapingaanvallen en bevat links naar meer informatie.
> Beveiligingsonderzoeker Aviv Raff heeft een demo over klembordkaping gemaakt. (Je moet je browser sluiten om de link in je klembord kwijt te raken.)