HPE entre los líderes de almacenamiento de Gartner
La falta de verificación de la integridad de cookies en los navegadores puede permitir a los hackers para extraer información de conexiones Web cifrados.
Las cookies podrían ser objeto de abuso por los atacantes para extraer información sensible de las conexiones HTTPS encriptadas.
El problema surge del hecho de que la norma de Gestión de Estado HTTP – RFC 6265 – que define cómo deben ser creados y manejados cookies, no especifica ningún mecanismo para aislarlos o el control de su integridad.
Según explicó una alerta del Centro de Coordinación CERT (CERT / CC) de la Universidad Carnegie Mellon, los navegadores Web no siempre autentican los dominios que fijan cookies. Eso permite a los atacantes maliciosos para inyectar cookies a través de conexiones HTTP sin formato que, más tarde, se transmiten para conexiones HTTPS en lugar de los establecidos por los sitios propios.
Una de las razones por las que esto sucede es porque algunos subdominios pueden establecer cookies que son válidos para sus dominios padres u otros subdominios.
Las cookies tampoco están aisladas por número de puerto o esquema. Un servidor puede alojar múltiples sitios web accesibles a través del mismo dominio, pero en puertos de diferentes número. Esos sitios web serán capaces de leer y escribir las cookies de cada uno.
Vulnerabilidad verificada
Todas estas inconsistencias pueden permitir a los atacantes man-in-the-middle realizar la llamada cookies-inyección galleta o ataques lanzando cookies que se pueden utilizar para extraer información sensible de las conexiones HTTPS.
Un equipo de investigadores de las Universidades de California en Berkeley, de Tsinghua en Beijing, el Instituto de Ciencias de la Computación Internacional y Microsoft probaron las implicaciones de este tipo de ataques en diferentes sitios web de alto perfil HTTPS.
Encontraron que podría secuestrar aparatos de chat de los usuarios en la interfaz de Gmail, robar historiales de búsqueda de Google, robar información de tarjetas de crédito en el sitio web de China UnionPay, secuestrar depósitos en JD.com, secuestrar Google OAuth, manipular carros de compras en sitios de comercios electrónicos como Amazon.com y más.
“Algunos proveedores de navegadores web han observado intentos anteriores de gestión de cookies que han sido frustrados por la falta de un estándar ampliamente implementado“, dijo un asesor de CERT / CC.
Hasta que haya un cuerpo de normas que llegue a una solución, el problema puede ser mitigado si los sitios web utilizan un estricto mecanismo de de Seguridad del Transporte (HSTS) para HTTP que obligue a los navegadores para acceder siempre a través de conexiones HTTPS seguras.
Las últimas versiones de los principales navegadores soportan HSTS, pero para que este mecanismo sea eficaz contra los ataques de inyección de cookies, los sitios web también tienen que ponerlo en práctica. Por desgracia, la adopción de HSTS a través de HTTPS habilitado en sitios web sigue siendo baja.
Según las últimas estadísticas del proyecto Pulso SSL, sólo el 4,5% de los 145.000 primeros sitios web HTTPS de Internet soporta HSTS actualmente.
