Microsoft prevede di correggere una vulnerabilità in IE divulgata recentemente, che facilita gli attacchi di falsificazione delle sessioni e suggerisce l'utilizzo del servizio private mode del browser fino a quando non sarà patchata. Il nuovo tipo di attacco, chiamato cookiejacking, è stato dimostrato alla recente conferenza Hack in the Box 2011 ad Amsterdam dal ricercatore di sicurezza italiano Rosario Valotta. Viene sfruttato un bug in tutte le versioni di Internet Explorer che permette di caricare in iframe i file cookie di sessione contenuti, se gli attaccanti conoscono i loro percorsi completi.
Il clickjacking e le tecniche di ingegneria sociale vengono quindi utilizzati per indurre gli utenti a trascinare il contenuto dell'iframe cattivo contenuto sulla stessa pagina e controllato dagli aggressori. Per la dimostrazione Valotta ha usato una partita di basket in cui è stato chiesto all'utente di trascinare una palla attraverso un cerchio. Nella palla era nascosto il contenuto dei cookie di sessione mirati. In un post sulla sicurezza di Windows Blog, Microsoft Brandon LeBlanc dichiara che la società sta lavorando su una patch e suggerisce di utilizzare il browser I.E. nella caratteristica InPrivate Browsing, che può aiutare a ridurre i rischi fino alla soluzione definitiva.
"La funzionalità InPrivate Browsing di Internet Explorer impedisce ai cookie di sessione di essere memorizzati sul vostro PC quando si naviga, rendendoli di fatto non vulnerabili al cookiejacking anche nelle circostanze descritte", egli spiega. Infatti, la modalità di navigazione privata impedisce l'accesso ai file cookie già salvati sul disco, ma ancora più importante, consente di evitare che i cookie attivi vengano mantenuti nel browser. Ciò significa che una pagina predisposta per il cookiejacking non può accedere né ai cookie precedenti né a quelli attivi, perché non esiste per loro un percorso.
Il portavoce di Microsoft sottolinea anche che attualmente non ci sono attacchi segnalati che sfruttano questa vulnerabilità e che è richiesta l'interazione dell'utente per poter aver successo. L'attivazione di InPrivate Browsing può essere fatta premendo CTRL + MAIUSC + P in Internet Explorer. Inoltre, la tecnologia filtro SmartScreen consente di rilevare i siti Web di phishing. SmartScreen Filter può contribuire a proteggere gli utenti dall'installazione di software maligno o malware. Se viene rilevato un sito Web dannoso, in Internet Explorer 9 viene bloccato l'intero sito, se necessario. Il filtro Smartscreen funziona anche con Download Manager per consentire la protezione contro download dannosi.
Nessun commento:
Posta un commento