El Equipo de Respuesta ante Emergencias Informáticas (CERT) norteamericano ha publicado un informe en el que se notifica una vulnerabilidad relacionada con las cookies y presente en prácticamente todos los navegadores modernos que utilizamos hoy en día, desde Chrome hasta Firefox pasando por Safari, Opera o Internet Explorer.
Según el informe, estas podrían ser utilizadas en un ataque para evitar el protocolo seguro HTTPS y acceder a la información de nuestras sesiones privadas. Lo peor de todo es que como hemos dicho ningún navegador actual tiene protección contra este tipo de ataque, por lo que estamos en peligro tanto nosotros como empresas del calibre de Google o Facebook.
Las cookies son un eterno dolor de cabeza por su capacidad para almacenar información en las conexiones no seguras, aunque hasta ahora todos creíamos que estábamos a salvo de ellas gracias a los límites de las conexiones HTTPS. Pero según este informe, el problema fundamental es que las cookies no garantizan la integridad de dominios hermanos o subdominios.
¿Cómo funciona esta vulnerabilidad?
Imaginaos dos páginas x.ejemplo.com y z.ejemplo.com. El servidor de x.ejemplo.com puede establecer una cookie con el atributo "Dominio" configurado para ejemplo.com, de manera que esta cookie no sólo podría llegar a sobrescribir la de ejemplo.com, sino hacer que en la petición HTTP se incluya también a z.ejemplo.com.
En el peor de los casos ,z.ejemplo.com no podría distinguir entre la cookie establecida y la suya propia, lo que quiere decir que desde el servidor de x.ejemplo.com se podría aprovechar esta vulnerabilidad para montar un ataque contra el otro servidor.
Siguiendo con nuestro ejemplo, un atacante puede establecer una cookie para ejemplo.com que sobrescriba la existente para la página www.ejemplo.com cuando una víctima esté cargando contenido protegido con HTTPS. De esta manera, el atacante que controla la cookie podría utilizar esta vulnerabilidad para obtener información privada de los usuarios.
El informe concluye sugiriendo que las empresas implementen el HSTS (HTTP Strict Transport Security) a nivel de servidor para evitar la vulnerabilidad, y sugiere que Google, Mozilla, Opera y el resto de desarrolladores actualicen sus navegadores para evitar los subdominios puedan utilizarse por para atacar a los dominios generales generando cookies maliciosas.
Vía | CERT
Imágenes | Surian Soosay y Intel Free Press
En Genbeta | Cómo borrar y controlar las cookies y las cookies Flash en Chrome o Firefox
Ver 10 comentarios
10 comentarios
atoi
Pero todo esto no es nuevo, no entiendo por qué ahora comienzan a hablar del asunto. Se sabe que todos los subdominios pueden setear y sobreescribir cookies dentro del dominio. Es una de las preguntas más recurrentes en stackoverflow:
http://stackoverflow.com/questions/1062963/how-do-browser-cookie-domains-work
Miguel Díaz
Nueva vulnerabilidad? Pues pensaba que era una feature sinceramente. Esto de siempre ha sido así.
jayjayjay_92
No has entendido la vulnerabilidad (valla no me lo experaba), la vulnerabilidad no es que un subnominio pueda acceder al resto de cookies del dominio que es comportamiento esperado y deseado.
La vulnerabilidad es que una cookie con un flag secure se puede sobreescribir como una no secure desde otro subdominio que no va por https. Tan sencillo como que el servidor no carge recursos que no pasen por https desde el mismo dominio y no dejar que el servidor http nos haga un redirect accediendo directamente al https.
abelnightroad
No es por nada, pero me molesta más que ahora casi todas las web pongan un mensaje que dice "Utilizamos cookies, si accede al sitio asumimos que las acepta". Aunque se instalan automáticamente antes de leer el mensaje de todos modos.
¿Qué me perdí? ¿Por qué varios sitios andan mostrando ese mensaje ahora? ¿Por qué tanto drama con las cookies ahora? ¿Se reforzó alguna ley? Recuerdo que antes no lo veía tan a menudo. Busco en Google y no encuentro nada, tal vez porque no uso las palabras correctas.
gabrielacruz segovia
chavos, chavos, chavos!!! siempre usen un antivirus!!! yo tengo psafe en mi celular, que es por donde compro en linea y la verdad es que ha protegido mi información de una forma increíble