BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Grave vulnerabilidad que permite crear webs falsas que simulan ser auténticas

Prog

Según Hispasec, al tiempo que Microsoft ha anunciado que no distribuirá aún el conjunto de parches correspondientes al mes de noviembre, tal como tenía previsto para el pasado día 9, una nueva vulnerabilidad crítica grave ha sido descubierta en I. Explorer, aunque podría ser usada en otros navegadores: este grave error crítico permite falsificar la dirección que aparece en el navegador "para hacer creer al usuario que se encuentra en otro sitio web", cuando en realidad la dirección apunta a un servidor que muestra una página falsa, idéntica a la verdadera y donde el usuario introducirá información crítica y sensible sin advertir en modo alguno la falsedad del proceso.

Tal como pone de manifiesto Hispasec: "Las posibilidades de aprovechar este problema son muy diversas, entre las más críticas podemos encontrar la falsificación de sitios con servicios críticos, como la banca electrónica. Un atacante podría copiar en su propio servidor web las páginas de un banco, incluido el formulario de usuario y contraseña para acceder al servicio de banca electrónica. A continuación podría distribuir un enlace que aproveche la vulnerabilidad, de forma que al seleccionarlo el usuario visualiza la dirección del banco en Internet Explorer y accede a sus páginas. Al tratarse de una copia, no encontrará nada irregular a primera vista, el aspecto de la página web y sus contenidos serán idénticos al original. En realidad la dirección es falsa, y las páginas que visualiza el usuario es una copia que se encuentra en el servidor del atacante, de forma que si introduce sus datos para acceder a su cuenta estaría proporcionando su nombre de usuario y contraseña a un tercero. Una vez el atacante dispone de los datos puede dirigirse al sitio web auténtico del banco y suplantar la identidad de la víctima para acceder a su cuenta."

Hispasec incluye una demostración donde cualquiera puede comprobar de una forma simple si su S.O. y navegador por defecto es vulnerable al problema gravísismo que supone dicha suplantación que deja a cualquier usuario indefenso para impedirle usar, por ejemplo, los servicios de la Banca o compra-venta en Internet.

(link roto)

Cualquiera con conocimientos suficientes puede alojar en su propio servidor una copia falsa de una página copiada y auténtica y obtener así cualquier información sobre datos personales que luego puede utilizar a su antojo con introducir únicamente una dirección en el navegador que simular ser la verdadera, cuando en realidad apunta a otra web oculta que obtiene la información crítica. Indudablemente, se puede suplantar cualquier web y obtener toda la información sensible de un usuario para usarla luego ilegalmente de manera delictiva. Especialmente grave son aquellas que solicitan datos personales, como NIF, CIF, nºs de cuentas bancarias, teléfonos, fecha de nacimiento, etc.

Más información sobre este tema en:

(link roto)

y, sobre todo, en:

(link roto)

💬 Comentarios

BocaDePez
BocaDePez

Pues ya sabeis... si vais a acceder a alguna página susceptible de ser copiada, no useis ningun link, escribidla a mano en el navegador para aseguraros de ir al lugar correcto.

🗨️ 1
Gnz

menuda colada... cualquiera puede explotar este bug me parece gravisimo.

Teoriza.com ::: La web de tus Teorías

BocaDePez
BocaDePez

Es decir, a mi con opera y winxp y soy "vulnerable" (a la pagina de nytimes, a las otras dos no, se queda en blanco), si, pero vulnerable a que? A no tener sentido comun. Es que yo esto no lo veo un bug, sino mas bien un tipo de ingenieria social como la forma de levantar contraseñas de hotmail. Vamos, creo yo.

Por cierto:
Los extraterrestres llegan a la Tierra
By Marie Heingel
Fuentes gubernamentales indicaron de la peligrosidad de los sujetos.
? Aterrizaron en el puerto interestelar en la Mancha.
? La recepción será a las 20h y se servirá ferrero roche.
? España solo usará sus armas atomicas en ultimo caso

xDDD Se sale

BocaDePez
BocaDePez

Yo hace tiempo que he dejado de usar el Internet Explorer.
No es vida. Solo lo uso para algunas paginas hechas con ASP como la de WindowsUpdate.
Con los dos primeros enlaces el mozilla indica que estamos en paginas de hispasec.
En la tercera, en la de del NYT, aparece la siguiente URL en la casilla de direcciones:

http://www.nytimes.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html

y no como en el Internet Explorer , que muestra la direccion
nytimes.com

de forma que con el mozilla podemos ver que no estamos donde deberiamos.

Tambien he hecho el test del ataque DOS y el mozilla muestra lo siguiente :javascript:open(location) en la barra de direcciones y lo siguiente : [object Window] en la pagina.

Es decir, que no se ejecuta nada.

Vosotros mismos. Yo hace tiempo que implanté Mozilla en mi oficina (entre otras medidias) y vivo relativamente tranquilo.
Aunque claro, no podemos desisntalar el Internet Explorer porque algunas paginas siguen sin funcionar con Mozilla.

🗨️ 1
maxaca

Pos eso, el probado con el netscape 6.2 y va perfecto, me pone http://www.nytimes.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html
y en los otros dos enlaces igual.

Por ahora estoy seguro...

Polanko2k

A mi lo que me parece es una caracteristica explotable, como la pregunta secreta de hotmail, no es un bug, pero te puedes aprovechar de el...

Imaginate que tienes una web que la url tiene un monton de variables, y keda feo a la vista, pues con esa propiedad estaria arreglado... un saludo

🗨️ 26
undertow

Que quede bonito en la pagina web de tus colegas estupendo, pero la suplantacion esta a la orden del dia y si se hace con banca electronica el asunto es muy muy grave, ademas, si en teoria cosas como windows estan diseñadas para que gente con minimos conocimientos de informatica sea capaz de usar un ordenador, estas cosas no se tienen que permitir ya que pueden inducir a un error, buscar continuamente lo facil me parece contraproducente, como en este caso.

🗨️ 2
gosub

hombre, el dinero no te lo pueden quitar, no conozco todavia ningun banco electronico que no tenga medidas de apoyo tipo "juego de barquitos" etc

🗨️ 1
undertow

te confundes, este tipo de practicas son para obtener las claves de operaciones o las claves de entrada a distintos tipos de servicios, como los de banca online, por lo tanto si te pueden quitar el dinero una vez obtenidas las claves.

semeolvido

¿No te parece un bug?, pues generalmente a la gente que conozco, no suele andar mirando donde pinchan con el Explorer, todavía se piensan que internet es un mundo seguro ;) , así que ahora con este "nobug" pueden ir a paginas de terceros pensando que están en el sitio al que querían ir y como pidan datos sensibles, porque al día de hoy hay gente que ponen sus datos reales ;) , no te cuento a quien pueden ir esos datos sensibles.

Un saludo

🗨️ 22
Polanko2k

A ver, creo que me he expressado mal, me parece grave, por supuesto, por las razones que dais, lo que digo es que no es un bug, sino un fallo en la implementacion de una idea, o incluso ni eso, es una opcion con aplicaciones "maleficas". Espero que me entendais mejor ahora, un saludo

🗨️ 20
semeolvido

Perdona que te diga Polanko2k, no quiero que te mosquees ni nada por el estilo, pero lo de "fallo en la implementación de una idea", "aplicación maléfica" o como lo quieras llamar, eso es una fallo de programación en el Explorer que deriva en un grave problema de seguridad para la gran mayoría de la gente que usa el Explorer.

Greetigs m8.

🗨️ 19
Polanko2k

no hombre, yo no me moskeo por nada ;), pero creo que en la noticia dice que no es solo el IExplorer: ha sido descubierta en I. Explorer, aunque podría ser usada en otros navegadores.

Si tambien passa con otros navegadores tambien passara en linux?

Si es verada que passa con otros navegadores si que se puede decir que es problema de implementacion (mala implementacion de una funcion javascript o html en los navegadores), no?

Un saludo

🗨️ 18
semeolvido
🗨️ 16
undertow
🗨️ 2
semeolvido
🗨️ 10
undertow
🗨️ 9
BocaDePez
BocaDePez
🗨️ 3
undertow
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
undertow
🗨️ 3
undertow
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Pues claro que es un bug. La programación del parseado de la cadena de la URL es incorrecta. Es un error infantil. A saber cuantas chapuzas mas se pueden explotar.

Lo de Microsoft es impresentable, todavia se defendian en los juicios por monopolio hablando de su amplia labor de I+D y las repercusiones que esto tendria para toda la industria.

overpeer

En la pagina falsa de microsoft

Al poner el puntero sobre el enlace, abajo donde pone donde va el enlace me pone:

http://www.mircosoft.com+

Y cuando pulso el enlace, en el navegador me aparece :

http://www.microsoft.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurlko.html

De todas formas, creo que todavia no he pillado la novedad del bug, ya que paginas como www.lmulespana.tk siempre pone lo mismo en la barra de direccion, aunque si compruebas los link ves que estas en otras distintas :S

Un saludo.

🗨️ 3
semeolvido

Hombre lo del link que dices:

www.lmulespana.tk

es lo mismo que si pones:

emulespana.net/~xmule/

Con lo que vemos que estan las dos paginas alojadas en el mismo sitio, www.emuleespana.net, con lo que se deduce que una de dos son la misma gente que simplemente han querido diferenciar el emule para Windows y Linux, o simplemente que la gente de emuleespana les han cedido parte de su sitio a lmule.

Asi que no es nada alarmante. :)

Del bug nada mas que decir lo que ya se ha dicho, que como hay gente confiada, van a una pagina y acaban en la de un tercero, a partir de hay imagina lo que se puede hacer. ;)

Greetings m8.

🗨️ 2
BocaDePez
BocaDePez

Pues eso decia que no me parecia tan alarmante lo de lmulespana :D

BocaDePez
BocaDePez

idem

BocaDePez
BocaDePez

Yo uso el opera, y para los que dicen que se traga la pagina de NYT, es lo normal, ya lo pone en el test. La del BBVA y la de Microsoft te llevan a otra de hispasec que te dice que si se ve otra direccion arriba es ke es vulnerable, pero para la del NYT han querido poner las consecuencias con un toque de gracia poniendo esa noticia de los extraterrestres. En cualkier caso, el enlace del test de NYT llevará siempre a esa pagina aunque dependiendo del navegador pondrá en la barra de direccion simplemente la URL del periodico real o pondrá esa URL tan larga (http://www.nytimes.com%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html)

Bocapez

Antes de clickar:

-Botón derecho en el link, copiar enlace. Pegar enlace en cualquier sitio o en la barra de direcciones, aparecerá la url auténtica.

-Botón derecho en el link, propiedades. En el campo url, aparecerá la url falseada seguida del caracter "", que indica que no es autentica.

Tras clickar:

-Tras clickar en un enlace falseado, mientras está cargando, en el título de la ventana aparecerá la supuesta url seguida del famoso "", que indica que no es autentica.

-Menu Archivo, propiedades. En el campo url, aparecerá la url falseada seguida del caracter "", que indica que no es autentica.

-Menu Ver, informe privacidad. Aparece todos los archivos descargados de ese dominio con su url autentica.

[mode troll on]
Cualquiera que sepa manejar minimamente un navegador y sepa lo que es una url, el máximo peligro que corre con estos "bugs" es morirse de risa. Lo linuxeros estais a la que saltais, a ver si sois menos alarmistas
[mode troll off]

🗨️ 2
Bocapez

La barra de busqueda de google también resulta afectada y se piensa que realmente estamos en la página falseada, dandole el PageRank correspondiente.

semeolvido

[Modo supertroll : on]
Ahora dime tu, ¿que tanto por ciento de personas crees tu, que [i]saben manejar mínimamente un navegador y lo que es una url[/i]?

Y también, ¿cuantas personas que usan el explorer crees tu, que van a hacer eso que dices?.
[Modo supertroll : off]

[Modo Linuxero : on]
Pues que sepas que de todos los navegadores que he probado, el que menos muestra a primera vista que estas en una URL Fake es el Explorer y mientras la gran mayoría de gente siga siendo tan confiada, como es por defecto, caerán como moscas.

Porque generalmente la gente que usa windows, son gente que quieren su ordenador para llegar a casa y desahogarse un rato, ya sea navegando o chateando, ¿tu te crees que se van a poner a mirar las urls donde van?.

Porque esto es un problema que nos atañe a todos, si eso no lo consideras peligroso, pues nada sigue con tu vida. :)
[Modo Linuxero : off]

Greetings m8.

Prog

respecto a la gravedad de este problema es que estamos hablando de que este fallo, bug, vulnerabilidad (o como queramos llamarlo) es más importante de lo que imagináis.

Los usuarios normales (de la calle), los que usan el ordenador realmente sin un propósito técnico, ni les gusta especialmente la informática como hobby (o sea, el 90%), no miran NUNCA si la dirección donde han entrado es auténtica comparándola con la real.

Pensad un poco que lo que mira un usuario "normal" es que la imagen de la página que sale en su pantalla sea la que espera que salga: jamás llegará a pensar que es una copia falsa alojada en un servidor pirata que busca robar sus contraseñas, datos personales sensibles, etc. Esta es la auténtica gravedad del problema. Acabo de preguntarle a dos personas que usan el ordenador para navegar, hacer 4 cositas sencillas con el procesador de textos, jugar, etc. y ambos me han dicho que ellos JAMÁS miran que lo que pone en la barra de direcciones coincida con el original (de hecho, uno de ellos me ha dicho que qué era la barra de direcciones :-). Para ellos ver la página de bandaancha.st tal como las estáis viendo vosotros es igual, indistintamente que ponga arriba

http://www.bandaancha.st/...

o que ponga:

http://www.pepeperez.net/...

En cualquier caso pensarían que están en BandaAncha y no es un lugar falso. Espero que lo comprendáis. De idéntica forma sucedería si apareciera la página de Yahoo, de Google, del BBVA, de Hotmail o del Banesto. "Picarían" e introducirían sus datos como si fuera auténtica.

Un saludo a tod@s.

maxlamenace

Es cierto que esta vulnerabilidad incrementa nuestro nivel de paranoia, no obstante, a pesar de que puedan chorizarnos los códigos de acceso de nuestros bancos electrónicos, lo habitual es que sea necesario otro código para transferir dinero a cuentas que no sean nuestras. Eso nos puede dar un cierto respiro hasta la próxima vulnerabilidad. Todo lo mas, podemos encontrar que nuestro dinero a cambiado de sitio entre nuestras cuentas (en caso de tener mas de una).

En cuanto a chorizarnos los códigos de nuestras tarjetas de crédito, esto ya es otro cantar. Algunas entidades ya han iniciado sistemas por los que debes confirmar tu compra en internet marcando un código en el teclado de nuestro teléfono movil. Desgraciadamente, no todos lo hacen.

Saludos y recordad las palabras de eddie el loco: "La paranoia no es una enfermedad, es una forma de vida"

Dcshoeco

En mayo del 2003 se intentó cometer un fraude entre los clientes del banco BBVA. Se envio indiscriminadamente correos que simulaban el proceder de BBVA en el que se pedía, mediante un formulario, la introduccion de tú contraseña para acceder a ciertos servicios que ofrecía la web del BBVA. Para acceder al formulario e intrudicir dicha contraseña, se realiza mediante una url identica a la que utiliza el BBVA (w3.grupobbvanet.com), como es lógico no estaba hospedeada en el servidor que utiliza el BBVA.

PD: Soluciones mas factibles sería la introduccion de firmas digitales y dni digital, aunque... en fin... ya sabéis, no? XDDDD

TeLeMakko

A mí en windows, el netscape 7.0 sale un enlace con garabato al final en las direcciones falsas y el cargar ves en la barra q estas cargando página desde hispasec

el iexplorer también al final de la url falsa aparece un garabato pero al carga la barra del explorador como si cargara una página de la url falsa. De todas formas no habría q esperar muchas diferencias entre navegadores, total motores habrá 2-3 q si el gecko, galeon, y poco más..pero ¡vaya putada!

saludos

🗨️ 1
daleguerra

La gravedad del problema yo creo que no está en que cualquier usuario medio puede simular una URL.

El problema es mucho mayor cuando un usuario con conocimientos avanzados utiliza IP Spoofing, eso sí que es grave, ya que el usuario ahí si que no distingue de donde le vienen realmente los paquetes, si del servidor de confianza o de la IP del atacante.

Saludos...

BocaDePez
BocaDePez

una consulta, que es el cuadro q viene antes de %00?? cual es elresultado de ponerlo en la barra de direccion?? se considera un caracter dentro del codigo ASCII?? tbn lo considero una vulnerabilidad grave, como se ha dicho antes da pie para la falsificacion, en contra de usuarios "desprevenidos", como no hay parches o actualizaciones, solo queda ser precavidos a la hora de aceptar vinculos o seguir algunas de las formulas q aca se han dado para descubrir si se trata de una pagina falsa. Al menos deberia hacerse en paginas que requieran codigos, o claves importantes (bancos, comercio electronico, paginas privadas, etc) ya q se tarda solo segundos y asi se puede prevenir una estafa. Tampoco hay q ser paranoicos, es algo muy simple de evitar y no por eso no vamos a andar mas por internet ni vamos a entrar a paginas que requieran claves, solo q en las mas importantes se tome la precaucion. En HispaSec se menciona otra vulnerabilidad que es una funcion recursiva, alguien sabe sobre q se trata?? saludos, gracias.

SickMan

Este es un link a la pagina google.cl pero en la barra de direcciones saldra, paginafalsa.com . Esto demuestra lo facil q es enga;ar a los usuarios, ya q si uno observa no se sospecharia nada, ahora este es solo un ejemplo, para realizar el enga;o habria q hacer una copia de google.com y crear un enlace para q salga google.com en la barra de direcciones, pero q realmente vaya dirigido a paginafalsa.com, esto ha sido probado con IE, si alguien ocupa otro explorador, podria decir si funciono o no. Saludos. Gracias.

He aqui el Link: .PRUEBA.

PD: No se busca incentivar la creacion de paginas falsas para realizar enga;os, solo es para dar a conocer los efectos que se puede hacer de esta vulnerabilidad.

Cabe decir que esto funciona en algunas webs solamente, aunque he encontrado varias webs importantes en las cuales esta presente la vulnerabilidad.

Eso es todo.