7 abr 2016

CrossFire: complementos de Firefox pueden ser explotados maliciosamente

Expertos en seguridad dieron a conocer durante una conferencia en el Black Hat, celebrado en Singapur, que algunos de los complementos más populares para el navegador de Mozilla, firmados por la compañía, exponen a millones de usuarios ante un comportamiento malicioso que difícilmente podría ser detectado, de acuerdo con el reporte de ArsTechnica.

Los investigadores describen una técnica confusa para explotar vulnerabilidades en complementos de al menos 9 de los 10 complementos más populares para Firefox, tales como Firebug y FlashGot Mass Down, NoScript, Video DownloadHelper, Greasemonkey. Cualquiera con los conocimiento suficientes puede desarrollar un complemento capaz de explotar y reusar vulnerabilidades en otros para ejecutar código malicioso a través de ellos.

En otras palabras, algún complemento que sea desarrollado con fines maliciosos podrá manipular al resto explotando sus vulnerabilidades. Quizá a uno de ellos para abrir páginas web sin permiso, otro para descargar malware y uno más para acceder al sistema de archivos, gracias a que Firefox comparte su espacio JavaScript con los complementos.
Complementos vulnerables, falsos positivos y tipos de ataques. (c) ArsTechnica

Para que el atacante tenga éxito, el usuario debería tener instalado el complemento que explota las vulnerabilidades, más uno de los complementos comprometidos. Cabe mencionar que si el usuario no cuenta con alguno de ellos, el complemento malicioso evita cualquier intento de explotación y con ello ser detectado.

Prueba de concepto (PoC)

Los investigadores dijeron que desarrollaron un Add-on, llamado ValidateThisWebsite, que contiene alrededor de 50 líneas de código que saltea el análisis automatizado de Mozilla y su proceso de revisión de código. El Add-on supuestamente analiza el código HTML de una página web determinada para determinar si es compatible con las normas vigentes pero en realidad "detrás de escena", el hace un llamado cruzado a la extensión NoScript de Firefox y abre una nueva página Web.

La vulnerabilidad es el resultado de la falta de aislamiento en la arquitectura de extensiones de Firefox, el cual permite que todas las extensiones JavaScript instaladas en un sistema puedan compartir el mismo espacio de nombres de JavaScript. El espacio de nombres compartido permite a las extensiones leer y escribir en las variables globales definidas por otros complementos, llamar o reemplazar otras funciones globales y modificar objetos ya instanciados.

Mozilla está consciente de este problema y asegura que las siguientes versiones de Firefox lo resolverán aislando el espacio JavaScript del usado por las extensiones, esto con la introducción del funcionamiento multiproceso al que ha bautizado como electrolysis, el cual conjugará con la tecnología WebExtensions.

Los investigadores dijeron que la nueva forma de manejo de extensiones de Firefox, basado en JetPack, teóricamente proporciona el aislamiento necesario para evitar llamadas de extensión cruzadas. En la práctica, sin embargo, las extensiones JetPack a menudo contienen código heredado no aislado que puede hacerlos vulnerables.

Los usuarios de Firefox se beneficiarían de las mejoras introducidas del proceso diseñado para detectar complementos maliciosos. Para ello, los investigadores han desarrollado una aplicación que se llama CrossFire [PDF] que automatiza el proceso de encontrar las vulnerabilidades de cross-extension y aseguran que apoyarán a Mozilla y su equipo de investigación para redoblar su esfuerzo contra la explotación de vulnerabilidades en los complementos. Mientras tanto, los usuarios del navegador tendrán que decidir si conservarlos o no, viendo cuan vulnerables pueden estar ante un escenario tan particular como este.

Fuente: FayerWayer

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!