ARTICULOS
- Reflected File Download (RFD): nueva técnica de ataque
Según Oren Hafif (investigador de Trustwave SpiderLabs ) que es posible forzar al navegador de la víctima crear malware "on-the-fly" que daría el control de la PC, teléfono o tablet a un atacante. Ahora imagina que esto podría hacerse haciendo clic en un enlace en un dominio popular, legítimo y confiable y luego ejecutar el archivo aparentemente legítimo. Esto es, una posibilidad real.
Oren Hafif va ha detallado su "nueva" técnica de ataque bautizada Reflected File Download (RFD) . Los usuarios más inteligentes serán capaces de identificar el ataque y no hacer clic pero Hafif también mostrará cómo crear el código para desarrollar un gusano que pueda propagar enlaces maliciosos que contienen el código del ataque a través de las redes sociales.
Cualquiera que haga clic en los enlaces estará entregando sus cookies, aunque los verdaderos criminales podrían elaborar ataques mucho peores. Muchos sitios son vulnerables a la RFD y Hafif informó en mayo a Google y Microsoft porque sus sitios eran vulnerables y estos ya han solucionado el problema.
Al menos 20 sitios web "importantes" podrían ser explotados mediante estas técnicas y es probable que muchos más acepten el tipo de solicitud necesaria para realizar el ataque: si se está usando JSON, es muy probable que se pueda explotar RFD.
En su divulgación a Google, Hafif mostró como un atacante podría enviar un enlace desde el dominio Google.com confiable que descarga un archivo (exploit) llamado "ChromeSetup.bat". Este archivo, si es ejecutado por el destino, abriría una conexión al sitio web del atacante, saltándose la protección de Same Origin Policy (SOP). Hafif incluso descubrió una manera de evitar las ventanas emergentes y otras advertencias.
Hafif, que ha recibido numerosos premios de Google para descubrir errores en su software, dijo que se podría tomar su exploit y darle "superpoderes" como forzar al navegador a abrir cuentas de correo electrónico o perfiles en redes sociales. "En realidad no existen limitaciones en los métodos de propagación de un gusano y puede incluir cualquier tipo de sitio web".
Pocas protecciones contra RFD son eficaces y los usuarios más avanzados sabrán que no deben hacer clic. Es discutible si RFD es realmente una técnica 0-Day y investigador Andreas Lindh dijo que "Es un método de ataque muy astuto pero parece que también requiere de un ataque de phishing exitoso".
Traducido por equipo de redacción ISEC
ACTIVIDADES
TODOS LOS DERECHOS RESERVADOS ©2022