Seria vulnerabilidad web en 8 millones de archivos Flash
Un investigador de seguridad ha identificado más de 8 millones de archivos Adobe Flash que hace a los sitios que los contienen vulnerables a ataques que son dirigidos a los visitantes con código malicioso.
Los archivos Flash están contenidos en una amplia variedad de sitios operados por casinos online, organizaciones de noticias, bancos, y equipos deportivos profesionales. Hacen a las páginas donde residen susceptibles de XSS, o cross-site scripting, ataques que tienen el potencial de inyectar código malicioso y contenido en el navegador del visitante y en algunos casos robar credenciales usadas para autenticar cuentas de usuario.
El investigador, que usa el apodo de MustLive (DeboVivir), dijo que los archivo Flash contienen un ActionScript pobremente escrito que es usado para contar el número de veces que se hecho clic en un banner y típicamente contiene los parámetros clickTAG o url. Búsquedas Google aquí y aquí identificaron un total de más de 8,3 millones de estos en sitios hospedados por el equipo de football Giants de Nueva York, Praguepost.com y ParadisePoker.com. Debido a que los resultados de Google a menudo son abreviados, el número real es probablemente mayor.
MustLive dijo que los sitios web que alojan los archivos defectuosos no son automáticamente vulnerables a explotación XSS. En efecto, aún cuando las páginas del sitio web oficial de Citibank incluyen tal contenido, los ataques XSS que intentaron explotarlo fallaron.
Pero el investigador proveyó abundantes ejemplos de sitios web que se volvieron vulnerables por los archivos Adobe, los que proveen gráficos que se mueven y a menudo se los llama SWFs, por el sufijo de tres letras que tiene el nombre de los archivos.
Ejemplos de páginas vulnerables a la inyección maliciosa de código son este, este y este. MustLive dice que esta página puedeser explotada para revelar los cookies del usuario cuando acceda virtualmente con cualquier navegador.
Usando las búsquedas de Google de más arriba, El Reg fue capaz de identificar sus propios exploits funcionales, incluyendo este en el sitio web oficial de los Giants de Nueva York. (En muchos casos, el script se lanza solo después que el usuario ha hecho clic en un objeto de la página).
De ninguna manera es esta la primera vez que alguien identifica una extensión de archivos SWF que amenaza la seguridad de los sitios que los alojan. Dos años atrás, investigadores documentaron serias vulnerabilidades en contenidos basados en Adobe que expusieron a ataques a más de 10.000 sitios.
La amenaza fue particularmente difícil de erradicar porque los webmasters debían emparchar su software de generación de contenido y luego re-generar todos los scripts de animación de nuevo. Meses después que el problema fuera identificado, muchos sitios web aún no se habían preocupado por actuar.
El año pasado, MustLive reportó 215.000 archivos Flash vulnerables, un número que luego elevó a millones. Aquel contenido también fue vulnerable por un ActionScript defectuoso.
Se debe mencionar que las vulnerabilidades expuestas descubiertas últimamente son el resultado de errores introducidos por una codificación descuidada más que por un software de Adobe vulnerable. Adobe provee aquí orientación en seguridad para diseñar banners con capacidades de seguimiento (tracking). MustLive provee consejos adicionales al final de su artículo en el blog donde documenta los archivos SWF vulnerables.
Traducción: Raúl Batista - Segu-info
Autor: Dan Goodin
Fuente: The Register UK
Los archivos Flash están contenidos en una amplia variedad de sitios operados por casinos online, organizaciones de noticias, bancos, y equipos deportivos profesionales. Hacen a las páginas donde residen susceptibles de XSS, o cross-site scripting, ataques que tienen el potencial de inyectar código malicioso y contenido en el navegador del visitante y en algunos casos robar credenciales usadas para autenticar cuentas de usuario.
El investigador, que usa el apodo de MustLive (DeboVivir), dijo que los archivo Flash contienen un ActionScript pobremente escrito que es usado para contar el número de veces que se hecho clic en un banner y típicamente contiene los parámetros clickTAG o url. Búsquedas Google aquí y aquí identificaron un total de más de 8,3 millones de estos en sitios hospedados por el equipo de football Giants de Nueva York, Praguepost.com y ParadisePoker.com. Debido a que los resultados de Google a menudo son abreviados, el número real es probablemente mayor.
MustLive dijo que los sitios web que alojan los archivos defectuosos no son automáticamente vulnerables a explotación XSS. En efecto, aún cuando las páginas del sitio web oficial de Citibank incluyen tal contenido, los ataques XSS que intentaron explotarlo fallaron.
Pero el investigador proveyó abundantes ejemplos de sitios web que se volvieron vulnerables por los archivos Adobe, los que proveen gráficos que se mueven y a menudo se los llama SWFs, por el sufijo de tres letras que tiene el nombre de los archivos.
Ejemplos de páginas vulnerables a la inyección maliciosa de código son este, este y este. MustLive dice que esta página puedeser explotada para revelar los cookies del usuario cuando acceda virtualmente con cualquier navegador.
Usando las búsquedas de Google de más arriba, El Reg fue capaz de identificar sus propios exploits funcionales, incluyendo este en el sitio web oficial de los Giants de Nueva York. (En muchos casos, el script se lanza solo después que el usuario ha hecho clic en un objeto de la página).
De ninguna manera es esta la primera vez que alguien identifica una extensión de archivos SWF que amenaza la seguridad de los sitios que los alojan. Dos años atrás, investigadores documentaron serias vulnerabilidades en contenidos basados en Adobe que expusieron a ataques a más de 10.000 sitios.
La amenaza fue particularmente difícil de erradicar porque los webmasters debían emparchar su software de generación de contenido y luego re-generar todos los scripts de animación de nuevo. Meses después que el problema fuera identificado, muchos sitios web aún no se habían preocupado por actuar.
El año pasado, MustLive reportó 215.000 archivos Flash vulnerables, un número que luego elevó a millones. Aquel contenido también fue vulnerable por un ActionScript defectuoso.
Se debe mencionar que las vulnerabilidades expuestas descubiertas últimamente son el resultado de errores introducidos por una codificación descuidada más que por un software de Adobe vulnerable. Adobe provee aquí orientación en seguridad para diseñar banners con capacidades de seguimiento (tracking). MustLive provee consejos adicionales al final de su artículo en el blog donde documenta los archivos SWF vulnerables.
Traducción: Raúl Batista - Segu-info
Autor: Dan Goodin
Fuente: The Register UK
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!