30 sep. 2008

Encuentran fallas CSRF en importantes sitios Web

Traducido para Segu-Info por Raúl Batista.

Investigadores de la Universidad de Princeton revelaron cuatro sitios con fallas de falsificación de requerimiento inter-sitios y revelan herramientas para protegerse de estos ataques.


SEPTEMBER 29, 2008 | Investigadores de la Universidad de Princeton revelaron hoy su descubrimiento que cuatro sitios web importantes son susceptibles al silencioso pero mortal ataque de falsificación de requerimiento inter-sitios (CSRF), incluyendo uno en el sitio INGDirect.com que permitiría a un atacante transferir dinero fuera de la cuenta bancaria de la víctima.


ING, YouTube, y MetaFilter, todos ellos han reparado esta vulnerabilidad después de haber sido alertados por los investigadores, pero al momento de escribir este reporte, el cuarto sitio, el de
The New York Times, sigue alojando la falla CSRF en su sitio Web que le permitiría a un atacante seleccionar y abusar de las direcciones de correo electrónico de los suscriptores del sitio.

Bill Zeller, un candidato al doctorado en Princeton, dice que la falla CSRF que él y su compañero investigador Edward Felton encontraron en INGDirect.com representa una de la primeras fallas CSRF en un sitio bancario que se hace pública. “Es el primer ejemplo de un ataque CSFR que permite extraer dinero de una cuenta bancaria, del que tenga conocimiento”, dijo Zeller.


La falla CSRF que encontraron en el sitio de ING permitiría a un atacante mover fondos de la cuenta de la víctima a otra cuenta que abra el atacante en nombre del usuario, sin que el usuario se de cuenta. Incluso usando una sesión SSL no protegería al usuario de tal ataque, dijeron los investigadores. “Ya que ING no protege explícitamente contra los ataques CSRF, transferir fondos de la cuenta de un usuario fue tan sencillo como reproducir los pasos que daría el usuario cuando transfiere dinero,” según un
informe escrito por Zeller y Felton.

En un ataque CSRF, el atacante puede forzar el navegador del usuario a pedir una pagina o determinada acción sin que se de cuenta el usuario, o que el sitio Web reconozca que el pedido no viene del legítimo usuario conectado. CSRF es poco entendido en la comunidad de desarrollo Web, y consecuentemente es una vulnerabilidad muy común en los sitios. “CSRF es extremadamente común. Está prácticamente en cualquier lugar que mire,” dice Jeremiah Grossman, CTO de
WhiteHat Security .

Más allá de la falla de ING, los investigadores de Princeton también encontraron vulnerabilidades CSRF en YouTube que permitirían al atacante, por ejemplo, amigarse a un usuario, agregar videos a la lista de favoritos del usuario, y enviar mensajes en nombre del usuario atacado. La falla en el sitio de blog MetaFilter le permite al atacante fijar la dirección de correo del usuario con la dirección del atacante, y entonces básicamente tomar el control de la cuenta de la víctima. Mientras que tanto YouTube como MetaFilter arreglaron sus fallas CSRF, el
The New York Times no lo hizo.

La vulnerabilidad permite que un atacante se apodere de las direcciones de correo electrónico de los usuarios registrados en el sitio y las use para enviar spam, o encontrar las direcciones de todos los usuarios que visiten un sitio que el atacante les induzca a visitar mediante un correo falso. “Este ataque es particularmente peligroso porque un gran numero de usuarios que tienen cuentas en el NYTimes y porque el NYTimes mantiene a la sesión de usuario hasta por un año,” dicen en el informe los investigadores. También encontraron que la nueva red social del Times, TimesPeople es vulnerable a los ataques CSRF.

“La gravedad de los ataques que encontramos ilustra que los desarrolladores no están tan familiarizados como debieran con este tipo de ataques,” dice Zeller.

Mientras tanto, Zeller y Felton también han desarrollado algunas herramientas para protegerse de los ataques CSRF. Produjeron un “plugin” para el Firefox para proteger al cliente, y una herramienta para agregar al entorno PHP Code Igniter, para impedir ataques en esos sitios. Zeller dice que el “plugin” para el navegador es limitado porque sólo protege las solicitudes POST inter-sitio, no las solicitudes GET. “Si hubiéramos bloqueado las solicitudes GET, muchas imágenes del sitio no funcionarían,” explicó. “[El plugin] puede proteger a los usuarios de las vulnerabilidades en sitios que no se protegen por si mismos.”

El descubrimiento de fallas CSRF en sitios Web destacados es solo la punta del iceberg de CSFR. “estamos comenzando a ver más y más de estos ataques, y creo que continuará hasta que los desarrolladores se eduquen más sobre CSRF,” dice Zeller. “Una diferencia importante entre CSRF y XSS es que XSS necesita que un desarrollador cree un agujero, un camino por el cual inyectar código en un sitio, mientras que los ataques CSRF solo requieren que el desarrollador no arregle el agujero (el cual por defecto ya existe).”


Fuente: http://www.darkreading.com/document.asp?doc_id=164854&f_src=darkreading_section_296

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!