domingo, 25 de agosto de 2013

Vulnerabilidad encontrada en sitio web de Kaspersky Lab permitía distribuir Malware

Un analista de ciberseguridad que el mes pasado ya había encontrado la manera de hacer una inyección SQL en el sitio web de Avira, reporta haber encontrado en el sitio web del antivirus "Kaspersky" una vulnerabilidad explotable, como es el "redireccionamiento no validado".

El redireccionamietno no validado forma parte de la lista del OWASP TOP 10, esta vulnerabilidad podría ser explotada con propósitos como:
  • Páginas de Phishing o sitios web clonados
  • Distribuir malware
Es una falla muy grave por parte de Kaspersky, considerando que son proveedores de soluciones para seguridad informática, es obvio que si un cliente visita su página en busca de descargar su producto, lo último que esperará será encontrarse con un archivo ajeno, que podría ser malware. Esto podría conllevar a una mala reputación para Kaspersky y más considerando que una empresa que provee antivirus pudo haber estado "esparciendo virus" desde su sitio web a muchos clientes de su producto.

Tras haber reportado la vulnerabilidad a los miembros de Kaspersky, les habría tomado 2 meses para reparar la falla, un largo tiempo si pensamos que algún atacante pudo haber explotado esta vulnerabilidad en todo ese tiempo para esparcir código malicioso.

Aquí podemos ver un video demostrativo de como se explota fácilmente la falla del sitio web.


"Dado que estoy trabajando en análisis de ciberseguridad, he visto muchos métodos que usan los black-hats para esparcir links, tal vez estos links son para kits de exploits, java applets, exploits de flash o tal vez un link directo a su archivo EXE. Pongamos de ejemplo las técnicas que usan los atacantes para esparcir  malware en Facebook.com, el cual causa un amplio rango de infección, dado que el usario infectado comenzará a enviar links de mediafire.com a sus amigos, dado que Mediafire es un sitio web y fuente segura para los usuarios, entonces ellos simplemente harán click y descargarán el archivo.

Pero ¿qué pasa si los links vienen de una empresa reconocida en soluciones de seguridad como los es Kaspersky? De seguro las personas confiarán en sus links. Así que a través del redireccionamiento no validado de Kaspersky, los atacantes estarán habilitados para esparcir un link de Kaspersky.com pero cuando el usaurio haga click en ese link, él será redireccionado al sitio web del atacante, el cual descargaría malware en sus máquinas o incluso descargar un antivirus falso para robar información financiera como las información de la tarjeta de crédito." Explica Ebrahim Hegazy el analista que descubrió la vulnerabilidad.

Como bien se menciona hay atacantes que eligen sitios web que son conocidos como fuentes seguras de contenido para poder esparcir sus virus, por ejemplo en la Figura 1, se muestra un caso real en Ecuador, donde cuentas infectadas envían enlaces similares al mostrado ahí, Facebook nos advierte que saldremos de la red social para ir a una página conocida por publicar noticias, que es ecuadorenvivo.com, si abrimos ese enlace lo que en realidad sucede por debajo es una re-dirección no validada en el sitio y los atacantes pretenden engañarnos descargar una "fotografía", pero sólo al ver la extensión nos percatamos que en realidad quieren hacernos descargar un ejecutable malicioso.

Figura 1: Redirección no validada que desde ecuadorenvivo.com nos descarga un archivo ejecutable desde 4shared con un ícono llamativo para ejecutar el malware. 

Fuente: The Hacker News

No hay comentarios:

Publicar un comentario en la entrada