miércoles, 26 de abril de 2017

Vulnerabilidad en Microsoft Edge permite robar cookies y contraseñas

Se ha anunciado una vulnerabilidad en Microsoft Edge que podría evitar las políticas de mismo origen del navegador (SOP, Some Origin Policy); lo que podría permitir construir un ataque para conseguir las contraseñas y cookies de servicios en los que el usuario se encuentre autenticado.

¡Oh!¡No!
¡Me han robado el Twitter!
El aviso viene de la mano del investigador argentino Manuel Caballero, que en una extensa entrada en su blog detalla cómo llevar a cabo el ataque. El problema se basa en un salto de las políticas de mismo origen de Microsoft Edge, aunque en este caso se abusa de las etiquetas data/meta junto con el hecho de que páginas sin dominio (como about:blank) tienen libre acceso a las páginas con dominio.

No es la primera vez que Caballero encuentra y reporta una vulnerabilidad de este tipo, aunque Microsoft ya las había parcheado hace tres meses. En esta ocasión el investigador vuelve a conseguir evitar las medidas de seguridad impuestas. En su informe muestra como un atacante consigue ejecutar código engañando al usuario para que pulse sobre una URL específicamente construida.

Como prueba de concepto el investigador ha creado una curiosa y divertida demostración en la que interviene una cuenta creada a nombre de Charles Darwin y otra a cargo de su rival Alfred Russel Wallace. Se puede ver cómo mientras Darwin pulsa en un enlace enviado por su archienemigo, éste se hace con su cuenta de Twitter, puede enviar un tweet como el conocido naturalista y hasta conseguir su contraseña.


Hay que señalar que el ataque también hace uso del administrador de contraseñas de Edge. Por eso, una vez más se puede recomendar evitar los administradores de contraseñas de los navegadores que pueden ser susceptibles a ataques de este tipo y provocar el robo de contraseñas.

Por el momento no hay solución. Esperemos que el 9 de mayo, fecha prevista para las siguientes actualizaciones de Microsoft, se incluya la corrección de este problema y Charles Darwin (y todos los usuarios de Edge) puedan utilizar sus servicios on-line con tranquilidad.

Más información:

SOP bypass / UXSS – Tweeting like Charles Darwin (Edge)



Antonio Ropero
Twitter: @aropero

martes, 25 de abril de 2017

Corregida vulnerabilidad crítica en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se soluciona una vulnerabilidad que podría permitir a un atacante evitar los controles de acceso.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.

Se ven afectadas las versiones 8.x anteriores a 8.2.8 y 8.3.1. Se recomienda la actualización a las versiones Drupal 8.2.8 o 8.3.1.

Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.

Más información:

Drupal Core - Critical - Access Bypass - SA-CORE-2017-002





Antonio Ropero

Twitter: @aropero