Los especialistas de Guardio descubrieron (
noticias ,
investigaciones ) una vulnerabilidad interesante en Evernote. Más precisamente, no en la aplicación para almacenar notas, sino en la extensión para el navegador Google Chrome. Evernote Web Clipper le permite guardar páginas web, tanto en su totalidad como en parte, y también puede agregar comentarios sobre el contenido original.
Esta funcionalidad bastante amplia ha llevado a la necesidad de incrustar código en todas las páginas visitadas por el usuario, si tiene instalada la extensión Evernote. Inicialmente, un pequeño script proporciona carga de código adicional si el usuario decide guardar la página. Resultó que esta carga del código no se verificó realmente, lo que teóricamente permitió al atacante recibir datos privados del usuario de otros recursos; fue suficiente para abrir la página preparada. Afortunadamente, la amenaza siguió siendo teórica: el problema se cerró, no se encontró evidencia de su uso para ataques reales.
La página web atacante, además del contenido visible, incluye varios marcos ocultos que acceden a sitios con datos privados (como se muestra en el video anterior, estas son páginas de Facebook y PayPal). La extensión Evernote agregará su propio script al código de dicha página, que es responsable de cargar el código en todos los marcos. El problema es que la fuente del código no se verifica correctamente y se puede reemplazar con el código del atacante.
La intervención del usuario (por ejemplo, la activación de cualquier función de extensión) no es necesaria. Es suficiente para abrir la página modificada, y la información de los elementos iframe ocultos comenzará a transmitirse al atacante. Así es como funciona una versión específica de Prueba de concepto, son posibles otras opciones. La vulnerabilidad se asemeja a un
problema descubierto y cerrado el año pasado en la extensión de Grammarly, un servicio de corrección ortográfica. En ese caso, los tokens de autorización de Grammarly eran accesibles a cualquier otro sitio web, por lo que cualquiera podía iniciar sesión en el servicio y obtener acceso a la información del usuario (más sobre esta vulnerabilidad
aquí ). Ambos servicios realmente necesitan modificar el código fuente de las páginas web, pero debe tener cuidado al implementar dicha funcionalidad.
Medio millón de sitios vulnerables, 1700 tiendas en línea pirateadas
Foregenix publicó los resultados de un estudio sobre seguridad de sitios web (
noticias ,
publicación de blog de la compañía). De los casi nueve millones de sitios monitoreados regularmente, según Foregenix, aproximadamente medio millón tienen vulnerabilidades graves. No se revelan los criterios específicos para separar los problemas graves de los no graves, pero se indica que solo aquellos en los que se encuentran vulnerabilidades conocidas con una calificación CVSS de más de 7 puntos en la selección de sitios problemáticos. No está del todo claro cómo incluso esas vulnerabilidades se explotan en la práctica, pero a veces es útil estimar tal "temperatura media en un hospital".
Tiendas en línea investigadas por separado: sitios donde de una forma u otra implementaron la recepción de pagos de los usuarios. Magento es reconocida como la plataforma CMS más vulnerable para las tiendas en línea: el 86.5% de los sitios que trabajan en ella tienen vulnerabilidades serias. De los 1,700 sitios donde se descubrieron scripts para robar la información de facturación de los usuarios, alrededor de mil trabajan en Magento, la mayoría de ellos ubicados en América del Norte. Según la compañía que realiza el estudio, los sitios web atacados descubren un agujero de seguridad en un promedio de 5,5 meses después de la piratería.
CMS Magento se hizo famoso el año pasado cuando los ciberdelincuentes del grupo Magecart comenzaron a
atacar masivamente sitios vulnerables mediante la instalación de scripts en ellos para robar los datos de pago ingresados por el usuario al pagar. Un principio típico de tal skimmer era abrir una ventana falsa para ingresar un número de tarjeta de crédito y otra información. Dicha ventana se mostraba en la parte superior de un formulario legítimo para ingresar información.
Un ataque a gran escala en 2018 explotó una vulnerabilidad que fue descubierta y cerrada en 2016. Por desgracia, muchos sitios no se han actualizado en dos años, por lo que la estimación de Foregenix (~ 1000 de los 200 mil sitios infectados que usan Magento) es incluso conservadora. En octubre pasado, el investigador Willem de Grot, que monitorea Magecart, contó 7 mil sitios con un skimmer instalado.
Hablando de antiguas vulnerabilidades. Microsoft advierte sobre una nueva ola de spam de archivos .RTF infectados que explotan una vulnerabilidad en Microsoft Office que se descubrió y cerró en 2017. El problema está
presente en las versiones de 2007 a 2016, y se emitieron parches para todas las variantes. Al abrir un documento infectado en una versión vulnerable de Office, se descarga e instala una puerta trasera en el sistema. No te olvides de actualizar.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.