miércoles, 1 de octubre de 2008

Clickjacking: Investigadores alertan por vulnerabilidad que afecta a todos los navegadores

Los investigadores están comenzado a sonar una alarma por lo que parece ser un nuevo tipo de vulnerabilidad/amenaza del navegador que afecta a la mayoría de las plataformas - Microsoft Internet Explorer, Mozilla Firefox, Apple Safari, Opera y Adobe Flash.


La amenaza, denominada Clickjaking (secuestro de clic), se iba a discutir en la conferencia OWASP NYC AppSec 2008, pero a pedido de Adobe y otros proveedores afectados, la charla ha sido pospuesta hasta que se tenga listo un arreglo completo.

Los dos investigadores detrás del descubrimiento - Robert "RSnake" Hansen y Jeremiah Grossman han publicado una pizca de información para resaltar la severidad de este tema.

Así que. ¿de que se trata exactamente el "Clickjacking"?

"Desgraciadamente, los que sacamos de los temas que encontramos no fue algo un poco malo, fue algo muy malo. Tan malo, de hecho, que nos sentimos impulsados a divulgarlo responsablemente. Uno de los temas lleva a otro y a otro y puf - tenemos al menos dos y probablemente más parches de proveedores por venir en una fecha aun no determinada. Y sólo trabajamos con unos pocos proveedores. Así que... esto es bastante."

Según alguien que asistió a una presentación parcialmente restringida de OWASP, el tema efectivamente es de "día cero", afecta a todos los navegadores y no tiene nada que ver con JavaScript:

En pocas palabras, se trata de cuando uno visita un sitio malicioso y el atacante es capaz de tomar control de los vínculos que nuestro navegador visita. El problema afecta a todos los distintos navegadores con excepción los Lynx o similares. El asunto no tiene nada que ver con JavaScript así que deshabilitar el JavaScript en el navegador no ayudará. Es una falla fundamental de la forma que trabaja el navegador y no puede ser resuelto con un parche sencillo. Con esta vulnerabilidad, una vez que uno está en la pagina web maliciosa, el chico malo puede forzarlo a hacer clic en cualquier vínculo, cualquier botón, o en cualquier cosa de la página sin que ni siquiera uno vea que está sucediendo.

[ VEA: Los avisos Adobe Flash lanzan ataques de secuestro del portapapeles ]

Si esto no le resulta suficientemente horrible, considere que el usuario final promedio no tendrá idea de lo que está pasando durante un ataque "Clickjack".

Ebay, por ejemplo, podría ser vulnerable a esto ya que uno puede incrustar javascript dentro de la pagina web, aunque, no se requiere javascript para abusar de esto. "Lo facilita de muchas maneras, pero no es necesario". Use lynx para protegerse y no ejecute nada dinámico. Puede rellenara formularios o cosas parecidas. La vulnerabilidad necesita DHTML. No permitir que le pongan 'frames' (marcos, código con 'frames') evitará "clickjacking" a través de dominios (cross-domain clickjacking), pero aun así un atacante podrá forzarlo a hacer clic en cualquier vínculo su página. Cada clic del usuario equivale a un clic de "clickjacking" así que algo como un juego hecho con flash es un cebo perfecto.

Según Hansen, el escenario de la amenaza ha sido discutido tanto con Microsoft como con Mozilla y ambos coinciden independientemente en que este es un problema difícil que no tiene usa solución sencilla por el momento.

Grossman confirmó que las ultimas versiones de Internet Explorer (incluyendo la versión 8) y el Firefox 3 están afectados.

Mientras tanto, el único arreglo posible es deshabilitar el scripting y los plugins en el navegador. Nos damos cuenta que no es suficiente detalle técnico por ahora, pero es lo mejor que podemos hacer por el momento.

La solución al problema

Resulta interesante leer de quienes descubrieron el "Clickjacking" (http://groups.google.com/group/forosi/browse_frm/thread/ccc91860e7d901dc#) como aun cuando se preparaban para exponer ese tema en la conferencia anual de OWASP (http://www.owasp.org/index.php/OWASP_NYC_AppSec_2008_Conference), lo discutieron entre ellos y decidieron no presentar esa charla ni divulgar mas detalles. (al menos por el momento)

"Así que después hablarlo bastante optamos por retirar nuestra exposición voluntariamente, debido a la extremadamente neutralizada información que tenemos para compartir. Preferimos compartir la que descubrimos en su totalidad cuando pueda ser discutido abiertamente en lugar de hablar de apenas unos detalles que no disminuirán el peligro de la falla. Seguirán habiendo agujeros en muchos sitios web debido a este problema aun después que los próximos parches estén disponibles, pero preferimos que algunos de los problemas críticos estén solucionados antes de hacer una exposición publica.(del problema)".
Autor: Ryan Naraine

Fuente:
http://blog.segu-info.com.ar/2008/09/clickjacking-investigadores-alertan-por.html

No hay comentarios: