El Equipo de Respuesta ante Emergencias Informáticas (CERT) norteamericano ha publicado un informe en el que se notifica una vulnerabilidad relacionada con las cookies y presente en prácticamente todos los navegadores modernos que utilizamos hoy en día, desde Chrome hasta Firefox pasando por Safari, Opera o Internet Explorer.
Según el informe, estas podrían ser utilizadas en un ataque para evitar el protocolo seguro HTTPS y acceder a la información de nuestras sesiones privadas. Lo peor de todo es que como hemos dicho ningún navegador actual tiene protección contra este tipo de ataque, por lo que estamos en peligro tanto nosotros como empresas del calibre de Google o Facebook.
Las cookies son un eterno dolor de cabeza por su capacidad para almacenar información en las conexiones no seguras, aunque hasta ahora todos creíamos que estábamos a salvo de ellas gracias a los límites de las conexiones HTTPS. Pero según este informe, el problema fundamental es que las cookies no garantizan la integridad de dominios hermanos o subdominios.
¿Cómo funciona esta vulnerabilidad?
Imaginaos dos páginas x.ejemplo.com y z.ejemplo.com. El servidor de x.ejemplo.com puede establecer una cookie con el atributo "Dominio" configurado para ejemplo.com, de manera que esta cookie no sólo podría llegar a sobrescribir la de ejemplo.com, sino hacer que en la petición HTTP se incluya también a z.ejemplo.com.
En el peor de los casos ,z.ejemplo.com no podría distinguir entre la cookie establecida y la suya propia, lo que quiere decir que desde el servidor de x.ejemplo.com se podría aprovechar esta vulnerabilidad para montar un ataque contra el otro servidor.
Siguiendo con nuestro ejemplo, un atacante puede establecer una cookie para ejemplo.com que sobrescriba la existente para la página www.ejemplo.com cuando una víctima esté cargando contenido protegido con HTTPS. De esta manera, el atacante que controla la cookie podría utilizar esta vulnerabilidad para obtener información privada de los usuarios.
El informe concluye sugiriendo que las empresas implementen el HSTS (HTTP Strict Transport Security) a nivel de servidor para evitar la vulnerabilidad, y sugiere que Google, Mozilla, Opera y el resto de desarrolladores actualicen sus navegadores para evitar los subdominios puedan utilizarse por para atacar a los dominios generales generando cookies maliciosas.
Vía | CERT
Imágenes | Surian Soosay y Intel Free Press
En Genbeta | Cómo borrar y controlar las cookies y las cookies Flash en Chrome o Firefox
Ver 10 comentarios