Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Falla en WPAD permite la fuga de URLs sobre HTTPS
Investigadores han encontrado fallas en el protocolo de Descubrimiento Automático de Proxy Web, ligados a servidores DHCP y DNS, esto permite a atacantes espiar URLs protegidas con HTTPS, así como también lanzar diferentes ataques maliciosos contra sistemas Linux, Windows o Mac.
De acuerdo con la empresa de seguridad SafeBreach, esta vulnerabilidad permite a cibercriminales controlar las direcciones URL de cada petición que realiza el navegador. Con esa información, SafeBreach dice que es posible que un atacante pueda ver la URL completa de cada sitio visitado, incluso si el tráfico está protegido con HTTPS.
La técnica, llamada ataque de fuga de URLs HTTPS, puede ser usada por un atacante para interceptar URLs privadas y de un solo uso, que contienen token usados para compartir el acceso a servicios como Dropbox. Un atacante también podría obtener una URL para reiniciar contraseñas de cuentas específicas y con esto obtener acceso total a la cuenta e información de la víctima.
La técnica también podría ser usada para lanzar un ataque de phishing basado en el navegador, para generar mensajes de alerta cuando se visitan URLs específicas, esto podría ser usado para conducir a ataques de denegación de servicio, redirigiendo el tráfico a determinada dirección IP, dijo Amit Klein, vicepresidente SafeBreach.
La vulnerabilidad está ligada a la forma en que navegadores utilizan PAC (configuración automática de proxy) para realizar peticiones HTTP y HTTPS. Los archivos PAC contienen JavaScript, el cual indica al proxy de un navegador qué utilizar para llegar a una URL específica. Si un PAC malicioso se introduce en el navegador, éste permite a un atacante controlar la dirección URL de cada petición que el navegador hace.
Klein, en una entrevista con Threatpost, dijo que la forma más común para que un cibercriminal lleve a cabo este ataque, sería en una red inalámbrica insegura con servidores señuelo de DHCP o DNS. Lo que es peor, no hay ninguna pista visual que indica si una computadora ha sido infectada por un PAC malicioso. La barra URL de los usuarios aún mostraría que están conectados a través de HTTPS.
"Si el sistema está configurado para utilizar WPAD y el protocolo DHCP, un atacante puede responder rápidamente a una petición del navegador de un archivo PAC y enviar rápidamente una respuesta DHCP falsa, que contiene un URL que apunta a un servidor del atacante donde un archivo PAC malicioso puede ser descargado en la computadora del objetivo ", explica Klein.
