Kaspersky Lab alertó en noviembre del año pasado aLinkedIn sobre un fallo de seguridad en su página que podía permitir a los cibercriminales realizar campañas de spear-phising. Por ello, los hackers podrían robar credenciales y controlar a distancia a sus víctimas sin tener que recurrir a la ingeniería social.
LinkedIn se comprometió a reparar esta amenaza, y ha publicado una reparación para la vulnerabilidad.
“Aunque deben restringirse algunos contenidos HTML, ya hemos publicado una reparación; resulta improbable ejecutar un exploit en las modernas plataformas de correo electrónico”, ha señalado David Cintz, gerentensenior de Programas Técnicos del ecosistema de seguridad de LinkedIn.
Esta vulnerabilidad en LinkedIn se encontró después de notar diferencias cuando publicaban un mensaje desde diferentes dispositivos en distintas publicaciones. La segunda llamada de atención fue una falla en el analizador sintáctico secundario de la plataforma que interpretaba una CRLF como una etiqueta HTML, y la añadía como publicación al texto.
El envío de múltiples publicaciones desde un navegador logró imitar un comportamiento parcial de las diferencias en el escaping, pero no había pistas sobre cómo evadir el motor anti-XSS para generar un ataque.
Investigaciones posteriores sobre la vulnerabilidad de LinkedIn que permitía a los cibercriminales realizar campañas de spear-phising descubrieron que había una razón por la que la salida desde un dispositivo no se cifraba de la misma manera. El envío de comentarios con etiquetas HTML desde una plataforma web generaba %3C como el caracter “menos que”, mientras que el envío desde un móvil generaba <.
Esto prueba que existen dos plataformas de correo diferentes y que las notificaciones desde los dispositivos móviles puedes llevar cargas malicionsas sin necesidad de validar las instrucciones de los usuarios.
Las redes sociales son un blanco muy atractivo para los cibercriminales y, en especial, las que son de profesionales. Éstas contienen información no sólo de los usuarios, sus compañeros de trabajo, o su historial profesional, sino también pueden tener datos confidenciales de una empresa.
Pero, ¿cómo funciona este ataque? La inyección de un comentario malicioso en el hilo de comentarios de una publicación enviará automáticamente una notificación al correo del usuario dueño de la publicación. Aunque parezca que el servidor de la apliación ha hecho “escaping” de los caracteres peligrosos, sólo se ha hecho el “escaping” de la carga de la aplicación principal. La plantilla del mensaje se envía tal cual.
En el peor de los casos, si un proveedor de correo nologra hacer el “escaping” del contenido de un mensaje entrante, el hacker puede empeorar el problema lanzando un ataque para inyectar un JavaScript malicioso, conocido como Stored XSS.
Otro escenario puede involucrar el uso de un formulario HTML asociado para recopilar información sobre la víctima o desviarla a un sitio donde se descargará un ejecutable malicioso. Este ejemplo es especialmente gráfico, pero seguro que lo entendéis mejor con las imágenes que os dejamos aquí debajo.
Fuente:https://computerhoy.com/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad