Falsificación de URL y ataque DoS recursivo en Internet Explorer

Esto sirve para hacer creer al usuario que se encuentra en otro sitio

web. La banca electrónica y servicios que solicitan datos sensibles al

usuario pueden ser principales objetivos de los atacantes.

Esta

vulnerabilidad permite construir un enlace de forma que al seleccionarlo

el usuario visualice una URL concreta en la barra de direcciones de

Internet Explorer, cuando en realidad está visitando un sitio web

diferente. Las posibilidades de aprovechar este problema son muy

diversas, entre las más críticas podemos encontrar la falsificación de

sitios con servicios críticos, como la banca electrónica.

Un atacante podría copiar en su propio servidor web las páginas de un banco,

incluido el formulario de usuario y contraseña para acceder al servicio

de banca electrónica. A continuación podría distribuir un enlace que

aproveche la vulnerabilidad, de forma que al seleccionarlo el usuario

visualiza la dirección del banco en Internet Explorer y accede a sus

páginas. Al tratarse de una copia, no encontrará nada irregular a

primera vista, el aspecto de la página web y sus contenidos serán

idénticos al original.

En realidad la dirección es falsa, y

las páginas que visualiza el usuario son una copia que se encuentra en

el servidor del atacante, de forma que si introduce sus datos para

acceder a su cuenta estaría proporcionando su nombre de usuario y

contraseña a un tercero.

Una vez el atacante dispone de los

datos puede dirigirse al sitio web auténtico del banco y suplantar la

identidad de la víctima para acceder a su cuenta.

Para

prevenir éste y otros ataques similares, como los basados en Cross Site

Scripting (XSS), la recomendación pasa por que los usuarios no accedan a

sitios webs sensibles (como por ejemplo a la banca electrónica)

pinchando en enlaces. Sobre todo debemos desconfiar si éstos nos llegan

a través de e-mail o se encuentra en páginas de dudosa confianza.

En la siguiente dirección encontrará una página web con varios enlaces que

aprovechan la vulnerabilidad. Pinche en cualquiera de ellos y observará

que aparece la URL de los sitios a los que aparentemente se dirige en la

barra de direcciones de Internet Explorer (Microsoft, BBVA, The New York

Times), sin embargo en realidad está accediendo a páginas webs del

servidor de Hispasec.

El último enlace, que aparentemente enlaza

con la edición web de The New York Times, nos llevará a una copia de su

portada que hemos editado y copiado en el servidor web de Hispasec.

Evidentemente la noticia de la llegada de extraterrestres es una broma

que hemos incrustado como prueba de concepto.

La segunda de las vulnerabilidades que ha saltado a la

palestra consiste en un ataque DoS (denegación de servicio) al sistema

cliente a base de abrir recursivamente ventanas de Internet Explorer, lo

que provocará un aumento en los recursos consumidos (CPU, memoria,…)

que puede dar lugar a diferentes efectos, como el bloqueo del navegador

o del propio sistema.

El ataque, también muy sencillo de

reproducir, se basa en una función recursiva. La velocidad con la que

las nuevas ventanas aparecen supera a las posibilidades de que el

usuario las cierre manualmente, lo que puede provocar el colapso. Una

vez el ataque se produce, el usuario puede detenerlo desde el

administrador de tareas finalizando el proceso del iexplorer.

En

la siguiente dirección encontrará un enlace a una página web que

reproduce el problema. Aconsejamos que antes de probar esta demostración

guarde toda la información relevante, ya que su navegador o sistema

podría dejar de responder.

La vulnerabilidades, tanto la de falsificación de URL como el intento de DoS

recursivo, son muy básicas y fáciles de aprovechar, basta con una línea

para reproducirlas (puede comprobarlo examinando el código de las

páginas de demostración), lo que sin duda aumenta las posibilidades de

sufrir el ataque.

Estos dos problemas vienen a sumarse a las

cinco vulnerabilidades de Internet Explorer que han sido publicadas

recientemente y que aun se encuentran esperando un parche, coincidiendo

en el mes que Microsoft ha anunciado que no distribuirá el conjunto de

actualizaciones de seguridad que periódicamente publica.