Fallo De Hace 17 Años En Firefox Permite Robar Archivos Usando HTML

Dejando de lado el phishing y las estafas, descargar un archivo HTML adjunto y abrirlo localmente en su navegador nunca fue considerado como una amenaza grave hasta que cierto investigador de seguridad demostró una técnica que podría permitir a los atacantes robar archivos almacenados en la computadora de la víctima.

Barak Tawily, un investigador de seguridad de aplicaciones, compartió sus hallazgos con The Hacker News, en donde desarrolló con éxito un nuevo ataque de prueba de concepto contra la última versión de Firefox al aprovechar un problema conocido de hace 17 años en el navegador.

El ataque aprovecha la forma en que Firefox implementa la Política de Mismo Origen (SOP) para el URI (Identificadores Uniformes de Recursos) del «file://», el cual permite que cualquier archivo en una carpeta en un sistema tenga acceso a los archivos en la misma carpeta y subcarpetas.

Dado que la Política del mismo origen para el esquema de archivos no se ha definido claramente en el RFC por IETF, cada navegador y software lo han implementado de manera diferente, algunos tratan a todos los archivos en una carpeta como el mismo origen mientras que otros tratan a cada archivo como un origen diferente.

Tawily le dijo a The Hacker News que Firefox es el único navegador importante que no cambió su insegura implementación de la Política de Origin Original (SOP) para el Esquema URI de File con el tiempo y también es compatible con Fetch API sobre el protocolo de archivo.

Demostración: Robo de archivos locales de Firefox (sin parchear)

Si bien la debilidad de implementación en Firefox ya se ha discutido en Internet una y otra vez en años anteriores, esta es la primera vez que alguien crea un ataque PoC completo que pone en riesgo la seguridad y la privacidad de millones de usuarios de Firefox.

Como se muestra en la demostración de video, Tawily explotó este problema conocido en combinación con un ataque de clickjacking y un error de «cambio de contexto» que permitía que su código de explotación automáticamente:

• obtener la lista de todos los archivos ubicados en la misma carpeta y subcarpetas donde el navegador ha descargado el HTML malicioso o la víctima lo ha guardado manualmente,
• leer el contenido de cualquier archivo específico o todos usando Fetch API, y luego
• enviar los datos recogidos a un servidor remoto a través de solicitudes HTTP.

Para una ejecución exitosa de este ataque, los atacantes deben engañar a las víctimas para que descarguen y abran un archivo HTML malintencionado en el navegador web Firefox y hagan clic en un botón falso para activar la vulnerabilidad.

Tawily le dijo a The Hacker News que todas las acciones mencionadas anteriormente podrían suceder secretamente en segundo plano en segundos sin el conocimiento de las víctimas, tan pronto como hacen clic en el lugar del botón en la página HTML maliciosa.

Cabe señalar que esta técnica solo permite que el archivo HTML malicioso acceda a otros archivos en la misma carpeta y sus subcarpetas.

En su escenario de ataque de PoC, Tawily muestra cómo un atacante puede robar fácilmente las claves secretas SSH de las víctimas de Linux si un usuario guarda los archivos descargados en el directorio de usuarios, que también contiene claves SSH en su subcarpeta.

Firefox no va a parchearlo en el corto plazo.

El investigador informó responsablemente sus nuevos hallazgos a Mozilla, quien respondió diciendo que «nuestra implementación de la Política del mismo origen permite que todos los File: // URL puedan acceder a los archivos en la misma carpeta y subcarpetas».

Esto sugiere que la compañía actualmente parece no tener planes para solucionar este problema en su navegador en el corto plazo.

Mientras hablaba sobre un enfoque alternativo para solucionar este problema, Twaily dijo: «Desde el punto de vista de la seguridad, creo que esto debería abordarse en el lado de la RFC, eso debería hacer que los agentes de usuario (navegadores) implementen el enfoque más seguro y no permitan a los desarrolladores cometer tales errores que dejan al cliente expuesto a tales ataques «.

En 2015, los investigadores descubrieron una vulnerabilidad similar, pero ejecutable de forma remota, en la política del mismo origen para FireFox que los atacantes explotaron en la naturaleza para robar archivos almacenados en las computadoras de los usuarios de Firefox cuando hacían clic en anuncios maliciosos en sitios web.

Aunque el ataque recientemente demostrado requiere un poco más de ingeniería social, muchos usuarios de Firefox también pueden ser víctimas fácilmente de esto.