Reverse Cross-Site Request.
Hace ya unas semanas salía a la luz una nueva técnica de robo de contraseñas, esta vez dedicada a los gestores de contraseña de los navegadores, el nombre que se le ha dado es Reverse Cross-Site Request (RCSR) y está pensada para atacar a usuarios de dominios que permiten la contribución de código HTML.
La técnica consiste básicamente en introducir mediante HTML un formulario oculto que simula completamente los campos de un formulario verdadero, los cuales el gestor de contraseñas convenientemente rellenará, ya solo queda conseguir que ese formulario sea enviado a una dirección de conveniencia (bien mediante un click o forzando el evento).
A continuación se han realizado unas pruebas de concepto sobre un XSS encontrado en cajamurcia hace ya bastantes dias:
http://www.hispasec.com/laboratorio/RCSR_cajamurcia.html (1,6M)
Si prefiere descargarlo comprimido para su posterior visión:
http://www.hispasec.com/laboratorio/RCSR_cajamurcia.zip (1,2M)
El uso del XSS permite "contribuir" ese código html sin necesidad de tenernos que encontrar en una web colaborativa, como se aprecia en los videos.
|
¿ Es efectiva la protección contra esta vulnerabilidad utilizando la opción de firefox de "contraseña maestra" ? En teoría podría servir hasta para alertarnos de formularios ocultos ¿ no ?
Tico: La contraseña maestra se pide la primera vez que necesitas rellenar un formulario conocido, si coincide con la página falsa, pues bien, como tu dices te serviría para darte cuenta de que algo raro pasa. Lo malo es que si anteriormente había sido usado, dará igual que tengas o no tengas activada la "contraseña maestra".
La recomendación general es no usar el gestor de contraseñas.
Lo de la contraseña maestra puede ser útil en otros escenarios, el problema añadido de ésta PoC viene por el XSS. Suponiendo que el usuario no haya entrado antes en ningún sitio que le haya solicitado la contraseña maestra y vaya directamente al banco a través de la URL del phishing, la contraseña maestra le saltaría cuando pincha en la banca electrónica, que se supone que es un sitio confiable para él, por lo que es más complicado que pueda sospechar.
En fin, si no nos podemos fiar del navegador para que guarde las claves, tendremos que tirar del pos-it pegado al monitor ;) La otra opción es tirar de algún gestor de contraseñas independiente, la verdad es que son bastante útiles cuando tienes que manejar muchas.
Yo personalmente no he confiado en ningun gestor independiente porque no he determinado criterios para saber cual sería seguro, quizás me quedé con imagen de la mala fama que se les hizo al vincular algunos con spyware. No representan estos gestores otros riesgos mayores ?
¿ tienen alguna recomendación para gestores independientes ?
Mauricio: échale un ojo a Password Safe, original de Bruce Schneier, ahora es un proyecto opensource (http://passwordsafe.sourceforge.net/)
no se como lo hicieron pero quiero mi email por muchos contactos importantes que tengo
pk me kai en la punta de la verga
por favor necesito vuestra ayuda urgente ..
unos hijos de la mala madre me han robado mi correo y contraseña . al pareser han cambiado mi contraseña y ahora andan mandando correos a las persona a mi nombre , quiero saber por que exixten los robos de contaseña y saber quien es la persona que se esta dedicandoa estafar en mi nombre. yo estoy como loca y quisiera cojer a esos hijos de la madre .
la cuenta robada es olga86@hotmail.com. necesito recuperar mi correo y contraseña .aunque me la hayan cambiado .
a donde debo dirigirme , por que ya hice la denuncia en la policia y me dicen que eso es un problema de hotmail.
porfavor comunicarse con migo .urgente . por mi direcion nueva .
no puedo abrir mi casilla y tengo informacion que necesito, cualquier informacion tengo otro correo alternativo emmatoranzos@yahoo.com.ar
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/184/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
