Por ejemplo, este enlace a Google nos lleva a Kriptópolis (y lo mismo ocurre -por cierto- si lo invocamos con https). Pero además, si en esa URL colocamos un enlace jar:// a un recurso malicioso, Firefox (sin NoScript, insisto) se lo traga como si procediese de Google y además permite la ejecución en ese mismo contexto, lo que podría hacer peligrar -por ejemplo- nuestra cuenta Gmail.
En definitiva: es un problema de Firefox, pero que puede explotarse vía sitios que permiten a sus usuarios subir imágenes (algunos foros, por ejemplo) o mediante sitios -como Google- que permiten redirecciones...
En concreto, la vulnerabilidad de Firefox reside en el protocolo jar:, que es utilizado internamente por este navegador para acceder a recursos incluidos en ficheros comprimidos.
Por ejemplo, al cargar una dirección como la siguiente:
jar:http://servidor.com/archivo.jar!/imagenes/loquesea.jpg
Firefox descarga primero el fichero comprimido archivo.jar del servidor, y después extrae el fichero loquesea.jpg en el ordenador cliente.
El problema (y la vulnerabilidad) radica en que Firefox confía en que cualquier dirección que empiece por jar siempre llevará a un fichero comprimido jar, aunque su extensión o el Content-type de las cabeceras http hagan pensar lo contrario.
Por tanto, un atacante malicioso puede crear un fichero html conteniendo código Javascript, comprimirlo y renombrarlo como mi_avatar.jpg. El atacante va ahora a un foro y sube esa "imagen" como su avatar. Después, en un post incluye un enlace en la forma siguiente:
jar:http://foro_victima.com/imagenes/avatares/mi_avatar.jpg!
mi_script_malicioso.html
Un usuario de Firefox que cliquee sobre el enlace sufre la carga y ejecución del script malicioso, que se ejecuta además en el contexto de foro_victima.com
La otra forma posible de explotación consiste en utilizar un sitio -como Google- que permita redireccionar peticiones, de forma que el jar que incluye el script malicioso hereda el contexto de seguridad del sitio que redirige, incluso aunque el script esté alojado en el propio sitio del atacante. En este caso -como se ve- ni siquiera es necesario subir ficheros a ningún foro, aunque se sigue requiriendo que el usuario haga clic sobre el enlace malicioso y que permite la ejecución de scripts.
Espero que ahora se entienda mejor, pero si todavía quedan dudas os recomiendo la explicación de Sergio Maone (autor de NoScript) y un vistazo a este ejemplo sobre cómo utilizar la redirección de Google para phishing, un aviso que tiene más de un año, pero que no fue suficiente para que Google cerrara de una vez tan peligrosa puerta.
No hay comentarios:
Publicar un comentario