En BlackHat, Angelo Prado y Neal Harris presentarán una nueva vulnerabilidad HTTPS Side-Channel
que podría permitir a los atacantes obtener identificadores de sesión,
tokens CSRF, OAuth token, correos electrónicos y campos ViewState. Los
investigadores dicen que este es el próximo paso luego de que Rizzo y Duong presentarán CRIME el año pasado en Ekoparty.
"Esta es una herramienta muy poderosa, si se sabe cómo usarla bajo ciertas condiciones, con la cual se puede comprometer a la víctima sin que se percate y sin que vea los clásicos avisos de error de certificados", dicen Ángel Prado, ingeniero de Salesforce.com y Neal Harris, ingeniero de Square.
El atacante no tiene que conocer a la víctima pero debe conocer el sistema objetivo y entender la estructura del sistema. Si bien no han brindado detalles, dicen que el ataque funciona enviando un número "significativo" de solicitudes al browser, que serían imposibles de ejecutar de forma normal.
"Este no es un ataque DDoS. No es como Lucky Thirteen u otros ataques a RC4 en los cuales se necesitarían años. Nuestro ataque es visible desde los primeros 30 segundos, dependiendo de la complejidad de la página que se está atacando."
La posibilidad de solucionar la vulnerabilidad no es trivial, por lo que será necesario trabajar con los fabricantes de navegadores para buscar la remediación y mitigación. Durante BlackHat los investigadores publicarán la herramienta y explicarán las mitigaciones posibles.
0 comentarios:
Publicar un comentario