Vulnerabilidad en autenticación no encriptada
Por Angela Ruiz
[email protected]
El US-CERT advierte sobre sitios Web que transmiten señales de autenticación sin encriptar. Debido a ello, las cookies utilizadas por algunos servicios de Internet, pueden ser interceptadas por un atacante.
Algunos sitios Web transmiten esta autenticación sin ninguna clase de cifrado durante la sesión entera, aún cuando éstas son iniciadas sobre una sesión HTTP encriptada.
Este comportamiento, podría permitir a un atacante en la red, usurpar las credenciales de un usuario legítimo.
Sitios que aplican cookies de autenticación sobre un inicio de sesión HTTPS (protocolo seguro), y luego transmiten las cookies sobre HTTP (protocolo no seguro), son particularmente vulnerables, puesto que es más probable que los usuarios piensen que la seguridad de la página a la que están conectados se aplica a toda la sesión.
Las cookies HTTP son textos que envía el servidor Web al
navegador. Las cookies se transmiten después al servidor
cuando el navegador tiene acceso al sitio Web.
Algunos sitios pueden autenticar a un usuario con un nombre y
contraseña y crear una cookie con un identificador único,
para responder a las futuras peticiones de autenticación.
Para aumentar la seguridad, el sitio Web puede borrar la
cookie cuando el usuario abandona la sesión habilitando el
atributo opcional "Secure" en el cabezal de respuesta "Set-
Cookie", o haciendo que la cookie expire después de un tiempo
específico.
Barras de herramientas o extensiones utilizadas por los
navegadores, pueden también enviar credenciales de
autenticación (cookies) a los sitios o servicios Web.
Sitios que utilizan cookies para autenticación sobre
protocolos de texto plano tales como HTTP, son vulnerables a
que ésta autenticación sea interceptada, simplemente
accediendo al tráfico que transporta a la cookie.
Luego de ello, el atacante podría utilizarla como credencial
de autenticación, tomando cualquier clase de acción en el
sitio Web, como si se tratara del propio usuario. Son
afectados especialmente aquellos sitios que ofrecen un
software como servicio.
El cifrado nulo es una opción válida al usar HTTPS, de
acuerdo a las especificaciones originales del SSL (Secure
Socket Layer, la tecnología que utiliza criptografía para
cifrar los datos que se intercambian con un servidor seguro).
Para minimizar los riesgos, se aconseja al usuario que inicia
sesión en una dirección HTTPS://, observar que la misma se
mantenga así y no cambie a HTTP:// mientras se navega.
También es aconsejable al abandonar una sesión, utilizar la
opción correspondiente en el sitio Web, y no solo cerrar la
ventana o acceder a otra dirección (sitio) de Internet. Esto
disminuye las posibilidades de que un atacante obtenga las
credenciales del usuario y explote la vulnerabilidad.
Algunos sitios actualmente vulnerables:
- Google
- Microsoft Corporation
- Yahoo
Sitios probablemente vulnerables:
- eBay
- MySpace.com
Tenga en cuenta que cualquier otro sitio que utilice usuario y contraseña para ofrecerle alguna clase de servicio podría ser vulnerable.
* Más información:
Vulnerability Note VU#466433
Web sites may transmit authentication tokens unencrypted
http://www.kb.cert.org/vuls/id/466433
* Créditos:
Erratasec
Fuente: http://www.vsantivirus.com/vul-cert-466433.htm
[email protected]
El US-CERT advierte sobre sitios Web que transmiten señales de autenticación sin encriptar. Debido a ello, las cookies utilizadas por algunos servicios de Internet, pueden ser interceptadas por un atacante.
Algunos sitios Web transmiten esta autenticación sin ninguna clase de cifrado durante la sesión entera, aún cuando éstas son iniciadas sobre una sesión HTTP encriptada.
Este comportamiento, podría permitir a un atacante en la red, usurpar las credenciales de un usuario legítimo.
Sitios que aplican cookies de autenticación sobre un inicio de sesión HTTPS (protocolo seguro), y luego transmiten las cookies sobre HTTP (protocolo no seguro), son particularmente vulnerables, puesto que es más probable que los usuarios piensen que la seguridad de la página a la que están conectados se aplica a toda la sesión.
Las cookies HTTP son textos que envía el servidor Web al
navegador. Las cookies se transmiten después al servidor
cuando el navegador tiene acceso al sitio Web.
Algunos sitios pueden autenticar a un usuario con un nombre y
contraseña y crear una cookie con un identificador único,
para responder a las futuras peticiones de autenticación.
Para aumentar la seguridad, el sitio Web puede borrar la
cookie cuando el usuario abandona la sesión habilitando el
atributo opcional "Secure" en el cabezal de respuesta "Set-
Cookie", o haciendo que la cookie expire después de un tiempo
específico.
Barras de herramientas o extensiones utilizadas por los
navegadores, pueden también enviar credenciales de
autenticación (cookies) a los sitios o servicios Web.
Sitios que utilizan cookies para autenticación sobre
protocolos de texto plano tales como HTTP, son vulnerables a
que ésta autenticación sea interceptada, simplemente
accediendo al tráfico que transporta a la cookie.
Luego de ello, el atacante podría utilizarla como credencial
de autenticación, tomando cualquier clase de acción en el
sitio Web, como si se tratara del propio usuario. Son
afectados especialmente aquellos sitios que ofrecen un
software como servicio.
El cifrado nulo es una opción válida al usar HTTPS, de
acuerdo a las especificaciones originales del SSL (Secure
Socket Layer, la tecnología que utiliza criptografía para
cifrar los datos que se intercambian con un servidor seguro).
Para minimizar los riesgos, se aconseja al usuario que inicia
sesión en una dirección HTTPS://, observar que la misma se
mantenga así y no cambie a HTTP:// mientras se navega.
También es aconsejable al abandonar una sesión, utilizar la
opción correspondiente en el sitio Web, y no solo cerrar la
ventana o acceder a otra dirección (sitio) de Internet. Esto
disminuye las posibilidades de que un atacante obtenga las
credenciales del usuario y explote la vulnerabilidad.
Algunos sitios actualmente vulnerables:
- Microsoft Corporation
- Yahoo
Sitios probablemente vulnerables:
- eBay
- MySpace.com
Tenga en cuenta que cualquier otro sitio que utilice usuario y contraseña para ofrecerle alguna clase de servicio podría ser vulnerable.
* Más información:
Vulnerability Note VU#466433
Web sites may transmit authentication tokens unencrypted
http://www.kb.cert.org/vuls/id/466433
* Créditos:
Erratasec
Fuente: http://www.vsantivirus.com/vul-cert-466433.htm


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!