Contrariamente a los informes, el Cookiejacking presenta un riego importante
En un reciente artículo de Reuters, el investigador de seguridad italiano Rosario Valotta describe un nuevo ataque de día cero en Microsoft Internet Explorer (IE) que ha denominado "cookiejacking." La idea principal detrás de cookiejacking en realidad ha existido desde hace varios años. Nombres más conocidos de esta técnica son secuestro secundario (side-jacking) o secuestro de sesión (session hijacking). Sin embargo, lo que Rosario descubrió es una nueva forma de este ataque que se basa en ingeniería social al usuario para que le ayude al atacante a explotar un error en el Internet Explorer.
Según el informe, la vulnerabilidad afecta a todas las versiones de IE, incluida la IE 9, en todas las versiones del sistema operativo Windows. Para explotar la vulnerabilidad, el atacante debe persuadir a la víctima para arrastrar y soltar un objeto por la pantalla del PC antes que el cookie puede ser secuestrado.
El investigador citó un ejemplo donde utiliza ingeniería social en forma de un rompecabezas para atraer a los usuarios a "desnudar" una foto de una mujer atractiva. Para aquellos de ustedes que estén interesados en leer todos los detalles del ataque, lo pueden encontrar aquí.
Según el informe de prensa, el portavoz de Microsoft, Jerry Bryant dijo:
La gran mayoría de los ataques ahora están ocultos a la vista, uno no puede saber que algo malicioso se está llevando a cabo e incluso el resultado de la interacción del usuario puede no mostrar ningún problema obvio. Las tácticas de ingeniería social son a menudo sutiles, retorcidas, y emotivas, por eso tienen éxito y utilizadas con frecuencia por los atacantes.
Mi consejo: estar siempre atentos a los peligros en Internet, si uno se mantienen cautelosos, eso sólo podría salvarlo de convertirse en la próxima víctima.
NT: Documento detallando el CookieJacking presentado por Rosario Valotta en la Conferencia Hack in the Box 2011
Traducción: Raul Batista - Segu-Info
Autor: Robert McArdle
Fuente: Trend Labs - Malware Blog
Según el informe, la vulnerabilidad afecta a todas las versiones de IE, incluida la IE 9, en todas las versiones del sistema operativo Windows. Para explotar la vulnerabilidad, el atacante debe persuadir a la víctima para arrastrar y soltar un objeto por la pantalla del PC antes que el cookie puede ser secuestrado.
El investigador citó un ejemplo donde utiliza ingeniería social en forma de un rompecabezas para atraer a los usuarios a "desnudar" una foto de una mujer atractiva. Para aquellos de ustedes que estén interesados en leer todos los detalles del ataque, lo pueden encontrar aquí.
Según el informe de prensa, el portavoz de Microsoft, Jerry Bryant dijo:
"Dado el nivel de interacción requerida del usuario, este problema no es uno que consideramos de alto riesgo."Desafortunadamente, esta afirmación no es del todo exacta.
"A fin de que eventualmente fuera impactado, el usuario debe visitar un sitio web malicioso, ser convencido de hacer clic y arrastrar elementos por la página, y el atacante tendría que ponerse como meta una cookie de un sitio web en el que el usuario ya se haya registrado", dijo Bryant .
- La gente visita sitios maliciosos todo el tiempo. La infraestructura de Trend Micro ™ Smart Protection Network ™ bloquea, en promedio, 13 millones de intentos de los usuarios acceder a sitios maliciosos cada día.
- La ingeniería social para lograr un arrastre es fácil y estafas como las utilizadas por los creadores de Facebook FAKEAV y varios ataques de copia de Facebook JavaScript demuestran que esto funciona con facilidad. La ingeniería social es sin duda la táctica número uno que utilizan cibercriminales en sus ataques maliciosos.
- Siempre van a haber "cookies" en las máquinas. No creo que los usuarios promedio eliminen sus cookies, incluso semanalmente, y mucho menos en forma diaria.
La gran mayoría de los ataques ahora están ocultos a la vista, uno no puede saber que algo malicioso se está llevando a cabo e incluso el resultado de la interacción del usuario puede no mostrar ningún problema obvio. Las tácticas de ingeniería social son a menudo sutiles, retorcidas, y emotivas, por eso tienen éxito y utilizadas con frecuencia por los atacantes.
Mi consejo: estar siempre atentos a los peligros en Internet, si uno se mantienen cautelosos, eso sólo podría salvarlo de convertirse en la próxima víctima.
NT: Documento detallando el CookieJacking presentado por Rosario Valotta en la Conferencia Hack in the Box 2011
Traducción: Raul Batista - Segu-Info
Autor: Robert McArdle
Fuente: Trend Labs - Malware Blog
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!