Se ha descubierto una vulnerabilidad en la última versión corregida de Internet Explorer, que podría permitir a un atacante robar credenciales mediante ataques de phishing "altamente creíbles", según reporta PC World.
El exploit permite evadir el mecanismo Same Origin Policy (SOP), el cual previene que sitios de orígenes distintos accedan a las cookies de navegador u otros contenidos y los modifiquen. Se encontró que funciona en la última versión de Internet Explorer 11, tanto en Windows 7 como 8.1.
En suma, se trata de una vulnerabilidad de tipo Cross-Site Scripting (XSS) que saltea el Same Origin Policy de forma que el atacante puede robar "cualquier cosa" desde otro dominio, e inyectar también en otro dominio. Anteriormente ya supimos de vulnerabilidades que salteaban el SOP, como aquella en el navegador Android Open Source Platform.
SOP o Política del mismo origen es un conjunto de mecanismos que previenen la interferencia entre sitios no relacionados. En otras palabras, se trata de una medida de seguridad para scripts en la parte cliente, y previene que un documento o script cargado en un “origen” pueda cargarse o modificar propiedades del documento desde un “origen” diferente. La idea básica detrás de de este mecanismo es que el código javascript de un origen no debería poder acceder a las propiedades de un sitio de otro origen.
El investigador David Leo fue quien dio a conocer los detalles de la vulnerabilidad en el navegador de Microsoft, e incluyó un exploit a modo de prueba de concepto que demuestra cómo se podría hacer un ataque usando el sitio del Daily Mail como ejemplo. Los usuarios que ingresaran al sitio verían que se abriría normalmente, pero sería reemplazado por un mensaje diciendo "Hacked by Deusen" ("Hackeado por Deusen") luego de siete segundos.
A pesar de que la notificación del sitio comprometido viene de un dominio externo, la barra de direcciones sigue mostrando www.dailymail.co.uk, lo cual puede tornar a una campaña de phishing en algo todavía más creíble. De esta forma, un sitio falso de una entidad bancaria pidiendo credenciales de acceso a home banking podría verse preocupantemente similar al original, más aun si en la barra de direcciones se muestra lo que parece ser la URL legítima.
Por otra parte, Joey Fowler, que firma como Senior Security Engineer de Tumblr, descubrió que el ataque también funcionaría en sitios usando el protocolo SSL.
Microsoft ya está al tanto del exploit en Internet Explorer y está trabajando en un parche para lanzar en la próxima actualización. En una declaración a Ars Technica, un vocero dijo que no tienen constancia de que se esté explotando activamente:
Para explotarla, un adversario necesitaría primero atraer al usuario a un sitio malicioso, generalmente a través de phishing. SmartScreen, que está activa por defecto en las versiones más nuevas de Internet Explorer, ayuda a proteger contra sitios de phishing. Alentamos a los clientes a evitar abrir enlaces de fuentes no confiables y visitar sitios desconocidos, y a cerrar la sesión al abandonar sitios para ayudar a proteger su información.
Hasta tanto se emita un parche, PC World avisa que los administradores de sitios se pueden proteger usando el encabezado X-Frame-Options con los valores "deny" o "same-origin", lo cual previene que otros sitios los carguen en iframes.
Créditos imagen: 360b / Shutterstock.com