Ataque imparable de JavaScript ayuda a fraude publicitario, estafas de soporte técnico, ataques de 0 días

El experto en seguridad argentino Manuel Caballero ha publicado una nueva investigación que muestra cómo el propietario de un sitio web puede mostrar un flujo constante de ventanas emergentes, incluso después de que el usuario haya abandonado su sitio, o peor aún, ejecutar su propio código JavaScript persistente mientras el usuario está en otros dominios.

Hay múltiples problemas y escenarios de ataque que Caballero descubrió, pero afortunadamente, sólo afectan a Internet Explorer 11, pero no a Edge, o a navegadores de otros proveedores.

La mala noticia es que, según NetMarketShare, IE11 es la segunda versión del navegador, con una cuota de mercado del 10,46%, por detrás de Chrome 55, con un 37,27%, lo que significa que sigue representando una gran parte de la base de usuarios online, a pesar de su avanzada edad.

Las ventanas emergentes de IE que no mueren

En una entrada de blog publicada ayer, el Caballero demostró cómo un desarrollador puede crear popups que persisten en el navegador, incluso después de que el usuario haya abandonado la página donde se cargó el código del popup, ya sea haciendo clic en un enlace o introduciendo una nueva URL en la barra de direcciones del navegador.

Según el veterano investigador de seguridad, no hay límite en cuanto al número de ventanas emergentes que el propietario de un sitio web malicioso puede mostrar a los usuarios después de que abandonen su sitio.

La única forma en que los usuarios pueden detener las ventanas emergentes es cerrando la pestaña y abriendo una nueva. Navegar lejos de la página maliciosa en una nueva pestaña también evita que aparezcan las ventanas emergentes.

Se pueden utilizar popups interminables en estafas de soporte técnico

En un escenario real, este número de Internet Explorer podría ser una herramienta útil en el arsenal de estafadores de soporte técnico, anunciantes sospechosos u otros operadores de scareware.

Un usuario que abandona una página sombreada puede seguir recibiendo ventanas emergentes que venden todo tipo de productos y enlaces, incluso después de haber abandonado claramente el dominio anterior.

Del mismo modo, los usuarios que llegan a los sitios web de estafas de soporte técnico y encuentran una forma de abandonar el sitio seguirán recibiendo ventanas emergentes después.

Si la víctima navega a sitios acreditados o neutrales, como Google, Wikipedia, Bing u otros, el flujo constante de ventanas emergentes posteriores podría convencer a casi todos los usuarios no técnicos de que sus equipos tienen un problema real y marcar el número de soporte técnico para obtener ayuda para limpiar su equipo.

Ataque imparable de JavaScript ayuda a fraude publicitario, estafas de soporte técnico, ataques de 0 días 1

Ataque imparable de JavaScript ayuda a fraude publicitario, estafas de soporte técnico, ataques de 0 días 2

Caballero también dice que las alertas pueden activarse desde un iframe, haciendo posible el ataque mediante código JavaScript malicioso entregado a través de ataques de publicidad maliciosa.

Un usuario de IE que lea un artículo de Forbes recibirá un anuncio malicioso y empezará a ver ventanas emergentes sobre la posibilidad de estar infectado con un virus. Navegar a uno o más sitios nuevos en la misma pestaña seguirá mostrando las mismas ventanas emergentes, llevando a los usuarios inexpertos por el mismo camino a creer que su PC puede tener problemas reales.

A pesar de las medidas de seguridad de IE, los usuarios no pueden bloquear las ventanas emergentes

Además de descubrir una forma de perpetuar las ventanas emergentes en diferentes dominios, Caballero dice que se podría usar otro problema para desactivar la casilla de verificación en la parte inferior de las ventanas emergentes que se repiten, que normalmente IE11 permite a los usuarios bloquear.

Ataque imparable de JavaScript ayuda a fraude publicitario, estafas de soporte técnico, ataques de 0 días 3

Este segundo problema se puede integrar en el primero, permitiendo a los propietarios de sitios web maliciosos crear ventanas emergentes que se extienden a través de múltiples dominios que son imposibles de matar utilizando el sistema incorporado de limitación de ventanas emergentes de IE.

Los Popups son simples ataques. La cuestión puede hacer aún más daño.

Pero las ventanas emergentes sólo rascan la superficie de ataque. El verdadero problema aquí es que Internet Explorer ejecuta código JavaScript persistente incluso después de que los usuarios abandonan un sitio. El atacante puede reemplazar el código emergente con todo lo que quiera.

«Digamos que hay un nuevo día cero y el atacante necesita descargar 5 megas en el navegador del usuario», dijo Caballero a Bleeping Computer en una conversación. «¿Cómo puede asegurarse de que tiene tiempo para descargar los bits? Con un guión persistente, el atacante tiene tiempo para todo».

«Con un script persistente[como este] se puede crear una red de robots sin necesidad de instalar nada a nadie», añadió el investigador.

Ha, así que hay una manera de hacer una red de bots como ServiceWorker para IE también! https://t.co/jj7tC6AtcE https://t.co/wxtz4S7UIr

– Egor Homakov (@homakov) 20 de febrero de 2017

IE11 es un billete de lotería de un malversador

«Por ejemplo, imagine una campaña de publicidad maliciosa que establezca este script y luego obligue a los usuarios a hacer peticiones ocultas a los anuncios», señaló Caballero, explicando que el propietario de un sitio web podría utilizar a los antiguos visitantes del sitio para cometer fraude publicitario.

«[Y]ou[the fake advertiser] buy cheap inventory and then, keep rotating hidden ads for hours, until the user[…] closes the tab.»

Peor aún, el problema del script persistente puede ser utilizado como un suplemento a los exploits ya existentes, mejorando su tasa de éxito.

No hay parches disponibles

En el corazón del problema persistente del script se encuentra un error universal de cross-site scripting (UXSS) y un bypass de Same Origin Policy (SOP) en el componente htmlFile/ActiveXObject de IE, que Caballero describió en profundidad hace dos semanas, pero que sólo recientemente se dio cuenta de que podía usar para hacer más daño.

No hay ninguna solución disponible para este problema porque el investigador ha decidido dejar de informar de errores a Microsoft después de haber ignorado muchos de sus informes anteriores.

Caballero ha creado una página de demostración que muestra todos sus hallazgos. Asegúrese de acceder a la página a través de Internet Explorer 11.

En diciembre pasado, Caballero encontró una forma de abusar de la función de seguridad SmartScreen de Edge para mostrar advertencias en dominios legítimos. Este problema también podría ser abusado por los operadores de soporte técnico, y esto también, Caballero no reportó a Microsoft.

Contenido relacionado

Deja un comentario