Los cazadores de amenazas han revelado una nueva “clase de vulnerabilidad generalizada basada en el tiempo” que aprovecha una secuencia de doble clic para facilitar los ataques de clickjacking y la apropiación de cuentas en casi todos los sitios web importantes.
La técnica ha recibido el nombre en código. Secuestro de doble clic por el investigador de seguridad Paulos Yibelo.
“En lugar de depender de un solo clic, aprovecha una secuencia de doble clic”, Yibelo dicho. “Si bien puede parecer un pequeño cambio, abre la puerta a nuevos ataques de manipulación de la interfaz de usuario que evitan todas las protecciones conocidas contra el clickjacking, incluido el encabezado X-Frame-Options o una cookie SameSite: Lax/Strict”.
secuestro de clicstambién llamado reparación de interfaz de usuario, se refiere a una técnica de ataque en la que se engaña a los usuarios para que hagan clic en un elemento de una página web aparentemente inofensivo (por ejemplo, un botón), lo que lleva a la implementación de malware o la filtración de datos confidenciales.
DoubleClickjacking es una variación de este tema que explota la brecha entre el inicio de un clic y el final del segundo clic para eludir los controles de seguridad y las cuentas de apropiación con una interacción mínima.
Específicamente, implica los siguientes pasos:
- El usuario visita un sitio controlado por un atacante que abre una nueva ventana (o pestaña) del navegador sin ninguna interacción del usuario o con solo hacer clic en un botón.
- La nueva ventana, que puede imitar algo inofensivo como una verificación CAPTCHA, solicita al usuario que haga doble clic para completar el paso.
- Mientras se realiza el doble clic, el sitio principal utiliza JavaScript Ubicación de la ventana objeto para redirigir sigilosamente a una página maliciosa (por ejemplo, aprobar una aplicación OAuth maliciosa)
- Al mismo tiempo, la ventana superior se cierra, lo que permite al usuario otorgar acceso sin saberlo aprobando el cuadro de diálogo de confirmación de permiso.
“La mayoría de las aplicaciones y marcos web asumen que un solo clic forzado es un riesgo”, dijo Yibelo. “DoubleClickjacking agrega una capa para la cual muchas defensas nunca fueron diseñadas. Métodos como X-Frame-Options, cookies SameSite o CSP no pueden defenderse contra este ataque”.
Los propietarios de sitios web pueden eliminar la clase de vulnerabilidad utilizando un enfoque del lado del cliente que desactiva los botones críticos de forma predeterminada a menos que se detecte un gesto del mouse o una pulsación de tecla. Se ha descubierto que servicios como Dropbox ya emplean este tipo de medidas preventivas.
Como solución a largo plazo, se recomienda que los proveedores de navegadores adopten nuevos estándares similares a X-Frame-Options para defenderse contra la explotación del doble clic.
“DoubleClickjacking es una variación de una clase de ataque muy conocida”, afirmó Yibelo. “Al explotar el tiempo de evento entre clics, los atacantes pueden intercambiar sin problemas elementos benignos de la interfaz de usuario por otros sensibles en un abrir y cerrar de ojos”.
La divulgación llega casi un año después de que el investigador también demostrara otra variante de clickjacking llamada falsificación de ventanas cruzadas (también conocida como falsificación de ventanas cruzadas). secuestro de gestos) que se basa en persuadir a una víctima para que presione o mantenga presionada la tecla Intro o la barra espaciadora en un sitio web controlado por un atacante para iniciar una acción maliciosa.
En sitios web como Coinbase y Yahoo!, podría ser abusado para lograr una apropiación de cuenta “si una víctima que ha iniciado sesión en cualquiera de los sitios va al sitio web de un atacante y mantiene presionada la tecla Intro/Espacio”.
“Esto es posible porque ambos sitios permiten a un atacante potencial crear una aplicación OAuth con un amplio alcance para acceder a su API, y ambos establecen un valor de ‘ID’ estático y/o predecible para el botón ‘Permitir/Autorizar’ que se utiliza para autorizar la aplicación en la cuenta de la víctima.”
About the Author
