19 diciembre 2024

CERT descubre grave exploit que permite obtener información privada a través de cookies

http-pixabay

De acuerdo al CERT de la Escuela de Ingeniería de Software de la Universidad Carnegy Mellon, cookies creadas bajo el protocolo HTTP pueden ser usadas para evadir la seguridad del protocolo seguro HTTPS, para obtener información de sesiones privadas del usuario.

De acuerdo a los investigadores que descubrieron esta vulnerabilidad, una cookie puede contener una señal de que es «segura», lo que indica que debe ser enviada a través de una conexión HTTPS. Sin embargo, no hay ninguna señal que indique cómo se creó esa cookie, por lo que un hacker en un ataque de los denominados Man-in-the-middle (hombre en el medio), aún en forma temporal en una sesión HTTP, puede inyectar cookies que se adjuntarán a las conexiones HTTPS posteriores.  Luego a través de estas cookies el atacante puede obtener la información privada del usuario en sesiones bajo el protocolo HTTPS.

Lo peligroso de todo esto es que los usuarios de cualquier navegador actual están totalmente indefensos hasta que se actualicen las RFC 6265 y 6454 para una gestión segura de las cookies actualizando las políticas de cookies del mismo origen.

Mientras tanto existe una solución que puede ofrecer una solución temporal al problema, pero sigue estando fuera del alcance de los usuarios.  Los proveedores de servicio de Internet pueden instalar HSTS (HTTP Strict Transport Security) en los niveles superiores de dominio, utilizando la opción includeSubDomains.  Esta opción permite mitigar parcialmente la capacidad del atacante para configurar las cookies de primer nivel para que puedan anular las cookies de subdominio.

Además de lo anterior el CERT recomienda que los usuarios actualicen a la última generación de los navegadores que fueron actualizados con soporte para HSTS, los cuales son Safari, Chrome, Internet Explorer, Edge, Firefox, Opera y Vivaldi.

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter

Hector Russo

Desde su juventud se ha dedicado a la Tecnología de la Información. En su oportunidad fue incluido por Ivy Worldwide en su lista Top 25 influencers en Tecnología. Actualmente es miembro del panel de jurados que elige los mejores vehículos del año para el mercado hispano de Estados Unidos, a través de los Hispanic Motor Press Awards.

Ver todas las entradas de Hector Russo →