¿Qué agujeros de seguridad se introducen al hacer clic en un enlace desconocido?

6

Recibí un correo electrónico hoy que me dijo que "Mi cuenta estaba compuesta", un intento de pesca obvio, o eso pensé.

Cuando hice clic en el enlace, solo por diversión, me llevó a una página que se cerró de inmediato. Esto me hizo pensar en posibles vulnerabilidades que podrían ser objeto de abuso sin ingresar información o descargar un archivo. El hipervínculo está debajo y, como puede ver, la URL no contiene casi nada que pueda identificarme. Al hacer clic, el enlace redirige varias veces y luego cierra la pestaña. El sitio base parece ser un gimnasio y, como se esperaba, el sitio que envió el correo electrónico no tiene un registro DNS adecuado.

Mi pregunta es la siguiente: ¿a qué posibles fallas de seguridad podría haber estado expuesto simplemente al ingresar un enlace desconocido y no hacer nada más?

enlace de correo electrónico:
hxxp: //stile-gi.ru/administrator/components/com_falang/inferentialj.html

    
pregunta tuskiomi 10.04.2018 - 22:17
fuente

3 respuestas

4

Suponiendo que no haya vulnerabilidades que se puedan explotar de forma remota en su navegador (incluido cualquiera de los complementos), en su software AV, en su sistema operativo, en su enrutador ... no hay peligro. :)

Obviamente estoy siendo tímido, pero no estoy defendiendo la verdad por mucho. Si mantiene actualizado el software de su estación de trabajo, es probable que esté bastante inmune a la mayoría de las cosas que Internet le lanzaría. Los intentos de explotación de drive-by enviados en masa (o los que se propagan automáticamente, como los gusanos) generalmente intentan explotar vulnerabilidades antiguas, con la esperanza de atrapar a personas que no han estado aplicando actualizaciones de seguridad.

Por otra parte, si usted es un objetivo lo suficientemente valioso para que alguien lo esté apuntando directamente, entonces tiene que ser mucho más consciente y cuidadoso al hacer clic en los enlaces aleatorios, porque alguien puede intentar usar el llamado " 0-días "hazañas en ti. Estas serían vulnerabilidades desconocidas para los investigadores de seguridad, o conocidas pero sin correcciones conocidas / firmas de AV / etc. Las personas preocupadas por la seguridad generalmente tienen un entorno de espacio aislado (una máquina virtual completamente aislada, por ejemplo) para abrir enlaces que consideran sospechosos, pero obviamente es una exageración para la mayoría de las personas. Su navegador incluye defensas significativas contra el contenido malicioso que podría ser perjudicial para su sistema, y si ha tenido cuidado de mantener su sistema operativo y su navegador actualizados con los últimos parches, probablemente esté bien.

    
respondido por el mricon 11.04.2018 - 01:26
fuente
4

Algunos:

Ataques del navegador Driveby: aquí es donde un atacante explota una vulnerabilidad en su navegador y desde allí puede filtrar la información de su navegador o ejecutar código en su máquina.

CSRF: pueden enviar solicitudes a sitios (que no tienen protección CSRF) en los que ya ha iniciado sesión haciendo clic en un botón (esto no siempre es necesario). A veces, si el sitio con el que un atacante te está haciendo interactuar está muy mal diseñado, podrían hacer que hagas cosas en ese sitio a través de una etiqueta de imagen, por ejemplo:.

Atacar a su red interna o enrutador. Los atacantes pueden solicitar recursos detrás de su firewall porque su navegador está detrás de su firewall. También pueden atacar a su enrutador (los enrutadores son notoriamente vulnerables a los atacantes que están en la misma red que el enrutador, consulte este sitio enlace ) . Un ataque como este a menudo sería ayudado por algo como DNS reenlazado . Lo más común que haría un atacante cuando atacara su enrutador es cambiar la configuración del servidor DNS o del proxy del enrutador para poder MITM su tráfico.

Un atacante también podría atacar cualquier servidor web que se ejecute en su máquina. Todos los tipos de aplicaciones ejecutan servidores web en su máquina que probablemente ni conozca. Recientemente, se descubrió una vulnerabilidad en el torrent UTorrent que permitiría a un atacante ejecutar código en una máquina de usuarios a través de solicitudes a un servidor que UTorrent ejecutaba en las máquinas de los usuarios ( source ). Otro ejemplo es la reciente vulnerabilidad de Kaspersky que hizo la misma cosa.

Un ataque también podría atacar aplicaciones locales al interactuar con dicha aplicación a través de su URI personalizado. Por ejemplo, el reciente Exodus wallet RCE ( enlace )

    
respondido por el Nick Mckenna 11.04.2018 - 18:21
fuente
2

Para que esta respuesta sea más general, eliminé los dominios reales: los enlaces tienden a caducar en breve cuando el administrador del sitio afectado responde al problema.

  

Tengo curiosidad por este caso específico. - curl 'ing - aparentemente inútil - javascript ofuscado

Este http://example.com/administrator/components/com_falang/inferentialj.html puede verse como un punto de entrada. Contiene un JavaScript ofuscado aparentemente inofensivo que no per se contiene nada directamente malicioso. Muchos de estos intentan parecerse a un componente o complemento de CMS completamente normal, y algunos incluso se activan solo en ciertas condiciones, como cuando alguien visita el sitio por primera vez. Todo esto es para la supervivencia: para ocultarse del administrador del sitio el mayor tiempo posible. El único propósito del punto de entrada puede ser redirigir al usuario a otro lugar, como es el caso ahora.

Lo que suceda a continuación también puede variar según las condiciones, para complicar la investigación. El siguiente sitio puede configurarse para proporcionar la carga útil real solo cuando un navegador real accede a él, o solo si el agente de usuario del navegador coincide con algo que podría ser explotado. Puede dar diferentes contenidos cuando el agente de usuario es, por ejemplo. curl/7.52.1 , por lo que puede resultar útil ofuscar al agente de usuario usando curl -A . La siguiente URL http://example.net/?s=27012018&a=401336&c=cpcdiet da una respuesta vacía a curl , mientras que Google Chrome obtiene una nueva redirección HTTP:

Location: http://example.net/all/gcqs/cpc?bhu=CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d

que tiene el siguiente contenido (sangría agregada para facilitar la lectura):

<link rel="stylesheet" 
    href="/assets/CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d/theme_1pgoz4.css?CID=411298" 
    type="text/css">
<link rel="dns-prefetch" 
    href="http://203.0.113.61.d.example.org">
<script>
    window.location.replace("http://pharmacy-site.example.org");

donde

  • la URL stylesheet tiene solo un CSS de marcador de posición que contiene solo /*...Empty theme...*/
  • la URL dns-prefetch conduce actualmente a un NXDOMAIN
  • script finalmente redirige a un sitio titulado Tienda en línea de farmacias , que vende Viagra.

La ubicación final es un dominio registrado a una persona privada de Rusia; alta probabilidad de estafa.

  

¿A qué posibles fallas de seguridad podría haber estado expuesto simplemente al seleccionar un enlace desconocido y no hacer nada más?

Esto tiene un gran potencial para ser perjudicial en general, pero depende de cómo reacciona su navegador y su vulnerabilidad está dirigida contra una vulnerabilidad en este entorno en particular.

Esta investigación reveló que podrías haber perdido dinero al pedir Viagra en un sitio de farmacia (probablemente falso), pero también podría haber sido peor.

    
respondido por el Esa Jokinen 11.04.2018 - 09:02
fuente

Lea otras preguntas en las etiquetas