Según Hispasec, al tiempo que Microsoft ha anunciado que no distribuirá aún el conjunto de parches correspondientes al mes de noviembre, tal como tenía previsto para el pasado día 9, una nueva vulnerabilidad crítica grave ha sido descubierta en I. Explorer, aunque podría ser usada en otros navegadores: este grave error crítico permite falsificar la dirección que aparece en el navegador "para hacer creer al usuario que se encuentra en otro sitio web", cuando en realidad la dirección apunta a un servidor que muestra una página falsa, idéntica a la verdadera y donde el usuario introducirá información crítica y sensible sin advertir en modo alguno la falsedad del proceso.
Tal como pone de manifiesto Hispasec: "Las posibilidades de aprovechar este problema son muy diversas, entre las más críticas podemos encontrar la falsificación de sitios con servicios críticos, como la banca electrónica. Un atacante podría copiar en su propio servidor web las páginas de un banco, incluido el formulario de usuario y contraseña para acceder al servicio de banca electrónica. A continuación podría distribuir un enlace que aproveche la vulnerabilidad, de forma que al seleccionarlo el usuario visualiza la dirección del banco en Internet Explorer y accede a sus páginas. Al tratarse de una copia, no encontrará nada irregular a primera vista, el aspecto de la página web y sus contenidos serán idénticos al original. En realidad la dirección es falsa, y las páginas que visualiza el usuario es una copia que se encuentra en el servidor del atacante, de forma que si introduce sus datos para acceder a su cuenta estaría proporcionando su nombre de usuario y contraseña a un tercero. Una vez el atacante dispone de los datos puede dirigirse al sitio web auténtico del banco y suplantar la identidad de la víctima para acceder a su cuenta."
Hispasec incluye una demostración donde cualquiera puede comprobar de una forma simple si su S.O. y navegador por defecto es vulnerable al problema gravísismo que supone dicha suplantación que deja a cualquier usuario indefenso para impedirle usar, por ejemplo, los servicios de la Banca o compra-venta en Internet.
Cualquiera con conocimientos suficientes puede alojar en su propio servidor una copia falsa de una página copiada y auténtica y obtener así cualquier información sobre datos personales que luego puede utilizar a su antojo con introducir únicamente una dirección en el navegador que simular ser la verdadera, cuando en realidad apunta a otra web oculta que obtiene la información crítica. Indudablemente, se puede suplantar cualquier web y obtener toda la información sensible de un usuario para usarla luego ilegalmente de manera delictiva. Especialmente grave son aquellas que solicitan datos personales, como NIF, CIF, nºs de cuentas bancarias, teléfonos, fecha de nacimiento, etc.
Más información sobre este tema en:
y, sobre todo, en:
