Contenido Exclusivo

Microsoft minimiza técnica de ataque en Explorer

Investigadores italianos han demostrado que una vulnerabilidad aún no resuelta en Internet Explorer, y que afecta a todas las versiones del navegador, puede ser explotada para robar las identidades online de los usuarios.

 

El error, que ha sido discutido, pero no publicado en detalle, forma parte de una técnica de ataque descrita por Rosario Valotta, que ha bautizado la táctica como “cookiejacking”, un juego de palabras con clickjacking, un método de ataque que se descubrió por primera vez en 2008.

 

Valotta combinó una falla no resuelta o “zero-day” en Internet Explorer con un giro en la táctica de clickjacking, mucho más conocida, para demostrar cómo los atacantes pueden robar cualquier cookie de una página si lo usuarios son convencidos para que arrastren y suelten un objeto en una página web maliciosa. Además, ha demostrado el ataque en un par de conferencias de seguridad celebradas en Amsterdam y Zurich a principios de mes.

 

Secuestrando cookies de páginas desde IE7, IE8 e incluso IE9, los atacantes podrán acceder al correo electrónico de las víctimas, a sus cuentas de Facebook o Twitter e incluso hacerse pasar por ellos en páginas web que cifran tráfico como bancos online o tiendas en Internet.

 

Jeremiah Grossman, cofundador y CTO de WhiteHat Security, ha descrito al ataque de Valotta como “inteligente” y ha declarado que los piratas informáticos podrían verlo como un retroceso al clickjacking, que él y Robert Hansen habían descubierto y publicado hace casi dos años. “En el caso de que no puedan encontrar un scripting en varias páginas o una vulnerabilidad clickjacking, eso será un buen plan de reserva para los atacantes”.

 

Sin embargo, desde Microsoft no creen que sea algo de lo que haya que preocuparse.

 

“Dado el nivel de interacción requerida del usuario, este problema no es de los que consideramos de alto riesgo en el modo en que, por ejemplo, lo es un código de ejecución remota”, ha explicado Jerry Bryant, responsable del Microsoft Security Response Center (MSRC). “Para que un usuario se vea afectado, debe visitar una página web maliciosa y le deben convencer para que haga clic y arrastre objetos en la página para que el atacante pueda dirigirse a una cookie en concreto de la página web en la que el usuario se haya registrado previamente”.

 

Sin embargo, Grossman no está de acuerdo con esto. “Creo que están equivocados. Al igual que ocurre con otras técnicas de ataque, hasta que no ven que se utiliza, no reaccionan. En realidad, es un ataque muy simple, no es técnicamente difícil”.

 

El ataque de prueba de concepto de Valotta ha sido relativamente sencillo. Construyó un juego para Facebook que utilizaba como cebo un puzle de una mujer muy atractiva y con él, eran capaces de recoger docenas de cookies de usuarios incautos de Facebook.

“He publicado este juego online en Facebook y en menos de tres días, más de 80 cookies se enviaron a mi servidor”, ha contado Valotta. El puzle pedía a los usuarios que seleccionaran y arrastraran piezas en la página web, sin el conocimiento de las víctimas, que cuando hacían eso, en realidad estaban arrastrando cookies a un punto específico de la pantalla donde un ataque clickjacking capturaba los datos antes de enviárselos a Valotta. Valotta ha declarado que en todas las versiones de IE, incluyendo la más reciente IE9, en todas las ediciones de Windows, incluyendo XP, Vista y Windows 7, se han producido ataques de cookiejacking.

 

Por su parte, Bryant ha añadido que la vulnerabilidad IE no era lo suficientemente seria como para lanzar una emergencia o una actualización de seguridad fuera de tiempo. “Tampoco tenemos constancia de que haya estado activa de alguna forma fuera de las demos que se han realizado”.

 

Lo Más Reciente

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización...

Los ‘Scam-Yourself Attacks’ aumentan 614% en el tercer trimestre del año: informe

Los 'Scam-Yourself Attacks' o "ataques de estafa”, en los...

Newsletter

Recibe lo último en noticias e información exclusiva.

Tenable descubre nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por...

“Mejorar la visibilidad en el ecosistema tecnológico, interno y de cara al cliente” : José Armando López Flores, CISO de Crediclub

“Queremos ser esa institución financiera que cubra con las expectativas de los clientes a través de garantizarles que su patrimonio estará seguro”. Con el objetivo...

Shopperbot: robot mexicano que ayuda a tomar mejores decisiones de compra

Como parte de las soluciones para impulsar la hiperpersonalización en la atención al cliente por medio de la tecnología, PepsiCo México desarrolló a Shopperbot....