Robo de claves a través de gestores de contraseña


Hace unos días salió a la luz una vulnerabilidad, que se ha venido a denominar Reverse Cross-Site Request (RCSR), capaz de afectar a dominios completos en los que los usuarios pueden introducir libremente código HTML.





El Reverse Cross-Site Request (RCSR) es una técnica que hace uso de los
tags de formulario para enviar información sensible a una dirección
maliciosa. En concreto, la información que el ataque intenta capturar
son las contraseñas que automáticamente se rellenan por medio de la
funcionalidad que integran diversos navegadores.

Para comprender mejor el caso pensemos en dominios tales como
geocities.com, myspace.com o cualquier otro espacio público en los que
los usuarios pueden crear sus páginas libremente. Al activar el gestor
de contraseñas conseguimos que al tener una cuenta legítima en estos
dominios, en la próxima visita que hagamos al mismo no tengamos que
volver a escribir nuestros datos, puesto que serán automáticamente
rellenados por el navegador. Vayamos un poco mas allá: si un atacante es
capaz de poner dentro de una página de ese mismo dominio un formulario
idéntico pero con un cambio en la dirección de envío, nuestros datos se
rellenarán mediante el mecanismo anteriormente descrito. Gracias a esta
funcionalidad, si nuestro atacante no muestra estos campos, sino que los
genera "ocultos", comprobaremos que esa información se encuentra ahí y
va a ser enviada a una URL controlada por el usuario malicioso.

El mecanismo anteriormente descrito funciona en su totalidad o
parcialmente según el navegador en concreto: por ejemplo, para FireFox
la entrega de datos se podrá realizar sobre otro dominio mientras que
con Internet Explorer la entrega está limitada al dominio en el cual se
recogen los datos.

A continuación se muestra una prueba de concepto que realiza la
obtención de claves de un supuesto usuario legítimo de los servicios de
correo electrónico por web (webmail) de CajaMurcia. En concreto, utiliza
un ataque de Cross-Site Scripting tradicional para inyectar la parte de
código contribuido por el atacante para conseguir generar formularios
donde capturar los datos.

http://www.hispasec.com/laboratorio/RCSR_cajamurcia.html (1,6M)

Si prefiere descargarlo comprimido para su posterior visión:
http://www.hispasec.com/laboratorio/RCSR_cajamurcia.zip (1,2M)

En la prueba se muestra un usuario que introduce su contraseña de
webmail y permite su almacenamiento en el gestor de FireFox, estas
contraseñas como se observa no tienen por qué ser reales, el interés es
que sean almacenadas. Posteriormente, imitando un posible correo de
phishing, el usuario pincha una URL que contiene el Cross-Site Scripting
con los formularios de captura de datos que más tarde, tras su click,
son mostrados sobre la URL de Hispasec.

Desde Hispasec Sistemas recomendamos desactivar la funcionalidad del
administrador de contraseñas tanto de FireFox como de Internet
Explorer ya que la explotación mediante alguno de estos mecanismos
puede provocar el compromiso de nuestras claves almacenadas.

Más información:

Bug 360493 - Cross-Site Forms + Password Manager = Security Failure
https://bugzilla.mozilla.org/show_bug.cgi?id=360493

CIS Finds Flaws in Firefox v2 Password Manager
http://www.info-svc.com/news/11-21-2006/

Robo de claves a través de gestores de contraseña
http://blog.hispasec.com/laboratorio/184

Fuente
Francisco Santos
hispasec.com



Otras noticias de interés:

Encontrados tres fallos de seguridad en el software Lotus de IBM
Tres agujeros de seguridad podrían permitir a los atacantes poner en marcha un código malicioso en los equipos que incorporan el software Lotus Domino o iNotes de IBM....
Spam de troyanos
Detectada una nueva ola de envíos masivos de e-mails para distribuir troyanos. En esta ocasión intentan engañar al usuario simulando ser un mensaje de su propio servidor de correo que no ha podido ser entregado y viene devuelto....
Nuevas versiones de PHP solucionan varios fallos de seguridad
Se han publicado recientemente nuevas versiones de PHP (versiones 5.2.14 y 5.3.3) que solucionan múltiples problemas de seguridad, que podrían permitir evitar restricciones de seguridad, provocar denegaciones de servicio, obtener información sensi...
DoS en Microsoft Windows Explorer y Media Player
Se ha publicado la existencia de una vulnerabilidad que afecta a Microsoft Windows Explorer (Explorador de Windows), y a Windows Media Player....
Los problemas con la privacidad en Facebook
Facebook almacena más datos de sus usuarios que cualquier otra compañía o incluso que los gobiernos. Eso hace más peligrosos sus frecuentes fallos de seguridad....
Nueva versión revista TuxInfo
El número 13 de la revista en formato digital Tuxinfo. trae el siguiente contenido:...
Disponible el Service Pack 4 para Windows 2000
Microsoft ha publicado el Service Pack 4 (SP4) para las plataformas Windows 2000. Esta actualización acumulativa incluye, en un único paquete, los Service Packs anteriores y todas las correcciones(*) que ha proporcionado hasta ahora....
Nuevo troyano “Calavera” ataca el modelo 7610 de Nokia
2004 ha sido el año en que los códigos malignos han iniciado una ofensiva contra los teléfonos móviles. Según la compañía de seguridad informática F-Secure, el modelo Nokia 7610 es vulnerable a un troyano que reduce la funcionalidad del apara...
Firefox 3.0.8, actualización de seguridad
Mozilla se puso manos a la obra con la actualización de seguridad de su navegador para arreglar el bug 0-day que se encontró en Firefox 3.0.7 y versiones anteriores 3.0.x. Actualiza tu navegador y así evitas males mayores como que alguien pueda t...
DNS Changer podría dejarlo sin conexión a Internet
Tras el arresto de seis ciudadanos estonios acusados de utilizar este malware capaz de funcionar tanto en plataformas Windows como Mac, el FBI ha confiscado los servidores DNS que utilizaban para redirigir a las víctimas hacia sitios ilegítimos. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • claves
  • computer
  • contrasena
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • gestores
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • robo
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra