Una vulnerabilidad crítica se ha encontrado en la versión parcheada del navegador Firefox de Mozilla que podría permitir a atacantes poner en marcha un ataque Man In The Middle (MITM) o ataque de suplantación, como si fuera poco, esta vulnerabilidad afecta a los usuarios de la red Tor.
El Proyecto Tor ha solucionado el problema en el sistema de colocación de certificado HTTPS del navegador el día viernes con el lanzamiento de su versión de Tor Browser 6.0.5, mientras que Mozilla todavía tiene que parchear el fallo crítico en Firefox.
Los atacantes pueden ofrecer falsas actualizaciones en Tor y Firefox
La vulnerabilidad podría permitir que mediante un ataque de suplantación se pueda obtener un certificado falso para addons.mozilla.org y así hacerse pasar por los servidores de Mozilla y, como resultado, ofrecer una actualización maliciosa para NoScript, HTTPS Everywhere u otras extensiones de Firefox instaladas en el equipo atacado.
«Esto podría provocar la ejecución de código arbitrario [vulnerabilidad],» Funcionarios de Tor advirtieron en un aviso. «Por otra parte, otras verificaciones de certificados integrado se ven afectados.»
Aunque sería difícil obtener un certificado fraudulento para addons.mozilla.org de cualquiera de varios cientos de entidades emisoras de certificados de confianza-Firefox (CA), sin duda no ha sido problema para ser vulnerado por los atacantes.
La vulnerabilidad fue descubierta inicialmente el martes por un experto en seguridad que se conoce con el nombre de @movrcx, quien describió los ataques contra Tor, los atacantes han estimado que necesitarían US$100.000 para lanzar ataques multi-plataforma.
Donde esta realmente el problema
según un informe publicado el jueves por el investigador independiente de seguridad Ryan Duff, este problema también afecta a Firefox en versiones estables, aunque una versión nightly build que se ha lanzado el 4 de septiembre no es afectada por esta vulnerabilidad.
Duff dijo que el problema real reside en el método personalizado de Firefox para el manejo de «Certificado de pinning», que es diferente de la norma aprobada por la IETF HPKP (HTTP Public Key Pinning).
EL Certificado que fija al HTTPS es una característica que asegura que el navegador del usuario sólo acepta una clave de certificado específico para un dominio o subdominio en particular y rechaza todas las demás, evitando que el usuario de ser víctima de un ataque realizado por spoofing a los certificados SSL.
Aunque no es muy popular, el estándar HPKP se utiliza a menudo en los sitios web que manejan información sensible.
«Firefox utiliza su propio método de colocación de clave estática para sus propios certificados de Mozilla en lugar de utilizar HPKP,» dice Duff. «La aplicación del método estático parece ser mucho más débil que el método HPKP y es defectuoso hasta el punto de que es bypassable, en este caso de un ataque.»
Mozilla está programado para liberar Firefox 49 el 20 de septiembre, por lo que el equipo tiene suficiente tiempo para entregar una solución. El Proyecto Tor tomó sólo un día para hacer frente a la falla después de la divulgación del bug se haya puesto en marcha.
Los usuarios de Tor Browser debe actualizar a la versión 6.0.5, mientras que los usuarios de Firefox deben desactivar las actualizaciones automáticas de complementos, una característica por defecto en el navegador, o deberían considerar el uso de un navegador diferente hasta que Mozilla brinde la actualización.