Categorías: Actualidad

Los investigadores han demostrado un nuevo ataque de desincronización impulsado por el navegador

Si bien el contrabando de solicitudes HTTP ya amenaza la seguridad del sitio web, los investigadores han ideado una nueva estrategia que aumenta la amenaza. Estos ataques, denominados ataques de desincronización impulsados ​​por el navegador, permiten que un adversario comprometa el TLS de los sitios web y explote los servidores.

Ataque de desincronización impulsado por navegador demostrado en Black Hat EE. UU.

El investigador de seguridad James Kettle amplió su último estudio sobre el «ataque de desincronización impulsado por navegador» en un informe técnico reciente presentado en Black Hat USA 2022.

Como se explicó, un ataque de desincronización impulsado por el navegador es una nueva táctica de ataque que revoluciona el contrabando de solicitudes HTTP convencional. La explotación de estos ataques permite potencialmente que un adversario apunte a sitios web, instale puertas traseras, envenene los grupos de conexiones del navegador e introduzca gusanos desincronizados.

Mientras que los ataques de desincronización convencionales involucran el envenenamiento de la conexión entre los servidores front-end y back-end, el ataque de desincronización impulsado por el navegador tiene como objetivo el enlace entre el servidor front-end y el navegador. Esto significa que un atacante puede usar dichos ataques para dirigirse a sitios web con tráfico de solicitudes del lado del servidor al envenenar la conexión de la víctima objetivo con el servidor del sitio web.

Anomalías HTTP que desencadenan el ataque

Específicamente, un ataque de desincronización impulsado por el navegador implica la explotación de cuatro vulnerabilidades diferentes en el manejo de HTTP.

Primero, observaron cómo los proxies inversos solo validan la primera solicitud enviada a través de una conexión al identificar el encabezado del Host, ignorando la segunda solicitud. Por lo tanto, un atacante podría enviar dos solicitudes al destino objetivo para obtener acceso al host.

En segundo lugar, observaron el segundo problema (relacionado con el primero), donde el front-end usa el encabezado Host de la primera solicitud para determinar el backend de destino y luego enruta todas las solicitudes posteriores del mismo cliente al mismo destino. Al explicar el impacto de este problema en su libro blanco, los investigadores dijeron:

Esta no es una vulnerabilidad per se, pero permite que un atacante golpee cualquier backend con un encabezado de host arbitrario, por lo que puede encadenarse con ataques de encabezado de host, como envenenamiento por restablecimiento de contraseña, envenenamiento de caché web y acceso a otros hosts virtuales. .

Luego, el investigador notó la posibilidad de detectar el contrabando de solicitudes bloqueadas de inicio de sesión, y el cuarto problema fue la desincronización compatible con el navegador que también le permitió al investigador comprometer las cuentas de los usuarios de Amazon. Además de Amazon, también se ha demostrado que el investigador compromete muchos servicios importantes como Cisco Web VPN, Akamai y Pulse Secure VPN.

Los investigadores elaboraron los aspectos técnicos de estos ataques en su trabajo de investigación, y también sugirieron la perspectiva de futuras investigaciones.

Fuente

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Compartir
Publicado por
WP Dev JaGonzalez

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

3 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

3 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace