Microsoft minimiza la importancia del “cookiejacking” en Explorer
Investigadores italianos han demostrado que una vulnerabilidad aún no resuelta en Internet Explorer, y que afecta a todas las versiones del navegador, puede ser explotada para robar las identidades online de los usuarios.
Según informa PC World Profesional, el error, que ha sido discutido, pero no publicado en detalle, forma parte de una técnica de ataque descrita por Rosario Valotta, que ha bautizado la táctica como “cookiejacking”, un juego de palabras con clickjacking, un método de ataque que se descubrió por primera vez en 2008.
Valotta combinó un fallo no resuelto o “zero-day” en Internet Explorer con un giro en la táctica de clickjacking, mucho más conocida, para demostrar cómo los atacantes pueden robar cualquier cookie de una página si lo usuarios son convencidos para que arrastren y suelten un objeto en una página web maliciosa. Además, ha demostrado el ataque en un par de conferencias de seguridad celebradas en Amsterdam y Zurich a principios de mes.
Secuestrando cookies de páginas desde IE7, IE8 e incluso IE9, los atacantes podrán acceder al correo electrónico de las víctimas, a sus cuentas de Facebook o Twitter e incluso hacerse pasar por ellos en páginas web que encriptan tráfico como bancos online o tiendas en Internet.
Jeremiah Grossman, cofundador y CTO de WhiteHat Security, ha descrito al ataque de Valotta como “inteligente” y ha declarado que los piratas informáticos podrían verlo como un retroceso al clickjacking, que él y Robert Hansen habían descubierto y publicado hace casi dos años. “En el caso de que no puedan encontrar un scripting en varias páginas o una vulnerabilidad clickjacking, eso será un buen plan de reserva para los atacantes”.
Sin embargo, desde Microsoft no creen que sea algo de lo que haya que preocuparse.
“Dado el nivel de interacción requerida del usuario, este problema no es de los que consideramos de alto riesgo en el modo en que, por ejemplo, lo es un código de ejecución remota”, ha explicado Jerry Bryant, responsable del Microsoft Security Response Center (MSRC). “Para que un usuario se vea afectado, debe visitar una página web maliciosa y le deben convencer para que haga clic y arrastre objetos en la página para que el atacante pueda dirigirse a una cookie en concreto de la página web en la que el usuario se haya registrado previamente”.
Sin embargo, Grossman no está de acuerdo con esto. “Creo que están equivocados. Al igual que ocurre con otras técnicas de ataque, hasta que no ven que se utiliza, no reaccionan. En realidad, es un ataque muy simple, no es técnicamente difícil”.
El ataque de prueba de concepto de Valotta ha sido relativamente sencillo. Construyó un juego para Facebook que utilizaba como cebo un puzle de una mujer muy atractiva y con él, eran capaces de recoger docenas de cookies de usuarios incautos de Facebook.
“He publicado este juego online en Facebook y en menos de tres días, más de 80 cookies se enviaron a mi servidor”, ha contado Valotta. El puzle pedía a los usuarios que seleccionaran y arrastraran piezas en la página web, sin el conocimiento de las víctimas, que cuando hacían eso, en realidad estaban arrastrando cookies a un punto específico de la pantalla donde un ataque clickjacking capturaba los datos antes de enviárselos a Valotta. Valotta ha declarado que en todas las versiones de IE, incluyendo la más reciente IE9, en todas las ediciones de Windows, incluyendo XP, Vista y Windows 7, se han producido ataques de cookiejacking.
Por su parte, Bryant ha añadido que la vulnerabilidad IE no era lo suficientemente seria como para lanzar una emergencia o una actualización de seguridad fuera de tiempo. “Tampoco tenemos constancia de que haya estado activa de alguna forma fuera de las demos que se han realizado”.
Noticias relacionadas
El gusano viral “Like” infecta cuentas de Facebook mediante métodos de clickjacking
Nuevas técnicas de clickjacking en Black Hat
Las empresas europeas deben prepararse rápidamente para la nueva directiva sobre cookies
