Nuovi attacchi sfruttano i vecchi problemi relativi ai file cookie dei browser

Se ancora non lo sapete, o lo avete dimenticato, ribadiamo, con l’occasione, come i file cookie non risultino troppo protetti nei confronti di possibili attacchi informatici.

Il CERT (Cyber Emergency Response Team, gruppo d’intervento rapido in caso di emergenze informatiche) – team patrocinato dal DHS (Department of Homeland Security, Dipartimento della Sicurezza Interna degli Stati Uniti) – operante presso il Software Engineering Institute della Carnegie Mellon University, ha pubblicato, nel corso di questa settimana, una nota di avviso attraverso la quale si evidenzia come sia tuttora largamente diffusa un’intera classe di vulnerabilità, a livello di file cookie, in grado di mettere seriamente a rischio i dati personali degli utenti, e persino i dati legati alla sfera finanziaria degli stessi.

La nota risulta ampiamente motivata dai risultati emersi nel report “Cookies Lack Integrity: Real-World Implications; lo studio è stato presentato nello scorso mese di agosto alla conferenza USENIX di Washington. Il research paper porta la firma di Xiaofeng Zheng, Jian Jiang, Jinjin Liang, Haixin Duan, Shuo Chen, Tao Wan e Nicholas Weaver, della China’s Tsinghua University, dell’International Computer Science Institute, di Microsoft, Huawei Canada, e della University of California, Berkeley.

Gli autori del documento hanno approfondito le tematiche relative agli attacchi informatici che prevedono l’iniezione di file cookie; tali attacchi possono essere condotti persino a livello di connessioni HTTPS protette. I ricercatori descrivono le vulnerabilità e i punti deboli riguardo all’implementazione della specifica RFC 6265, inerente ai file cookie.

Il tipo di attacco descritto in occasione della conferenza USENIX si basa su una specifica presenza in rete nella posizione di “man-in-the-middle”: questo consente, di fatto, di poter iniettare dei file cookie all’interno di una sessione HTTP; tali cookie vengono poi ugualmente trasmessi attraverso connessioni HTTPS. Gli autori dello studio hanno dichiarato che tali vulnerabilità sono presenti in una serie di siti web particolarmente frequentati – nell’occasione sono stati citati Google e Bank of America – ed hanno inoltre aggiunto che le conseguenze di una simile situazione possono comportare la fuga di dati personali, l’hijacking degli account e perdite di natura finanziaria.

“Supponiamo che vi troviate su una rete che può essere controllata da un malintenzionato (ad esempio presso Starbucks, oppure una rete WiFi aperta). Un malintenzionato intercetta temporaneamente il controllo del vostro browser, allo scopo di inserire un file cookie relativo ad un sito web mirato, – ha riferito Nicholas Weaver a Threatpost. – Poi, dopo qualche tempo, quando visitate il sito (su un’altra rete, in altre circostanze), il vostro browser presenta al sito web in questione il file cookie fasullo; il sito, a sua volta, provvede ad elaborare tale cookie. Esso può, ad esempio, limitarsi a monitorare l’utente, oppure può dar luogo ad un vero e proprio attacco XSS, definito nell’ambito dello stesso file cookie”.

Nel documento, i ricercatori segnalano che l’isolamento per dominio dei cookie non risulta sufficiente, e che domini diversi, ma correlati tra loro, possono condividere una selezione comune di cookie. Riportiamo, a tal proposito, un estratto dal report:

“Un cookie può presentare il flag “secure”, il quale indica che il cookie deve essere trasmesso esclusivamente attraverso il protocollo HTTPS; tale elemento ne rafforza il livello di riservatezza nei confronti di un possibile attacco man-in-the-middle. Non esiste, tuttavia, una misura analoga per proteggere la sua integrità contro il medesimo “avversario”: alla risposta HTTP è in effetti consentito installare un cookie sicuro per il proprio dominio. Un malfattore, su un dominio correlato, può violare l’integrità del cookie, utilizzando un cookie condiviso”.

Nemmeno la Same-Origin Policy (regola della stessa origine), volta a limitare il contenuto di vari domini, offre una protezione efficace nei confronti di tali attacchi, visto che il cybercriminale, una volta insediatosi nella rete, può obbligare il browser dell’utente-vittima a visitare un sito malevolo.

“Dal momento che la specifica RFC 6265 non definisce alcun meccanismo in grado di fornire adeguate garanzie riguardo all’isolamento e all’integrità, non tutti i browser web provvedono ad autenticare il dominio che effettua l’installazione del file cookie, – si legge nella notifica di avvertimento emessa dal CERT. – Il malintenzionato può avvalersi di tale circostanza per installare un file cookie che verrà in seguito utilizzato, attraverso una connessione HTTPS, al posto del cookie installato sul sito autentico”.

I ricercatori hanno suggerito una serie di possibili misure di protezione; la principale di esse è indubbiamente rappresentata dall’implementazione del protocollo HSTS (HTTP Strict Transport Security), e dalle modifiche che dovrebbero essere apportate dai produttori di browser. Il documento descrive ugualmente un esempio di estensione del browser di tipo proof-of-concept, in grado di isolare meglio i file cookie tra i domini HTTP e HTTPS.

“L’HSTS non consente al vostro browser di accettare i cookie del malintenzionato in relazione a tutti i siti, da voi già visitati, che supportano tale protocollo, visto che essi giungono non tramite l’HTTPS, bensì attraverso il protocollo HTTP, – ha precisato Nicholas Weaver. – In tal modo, qualsiasi sito web che provvede ad implementare il protocollo HSTS per il proprio dominio di base e tutti i sottodomini, risulta in pratica immune.

“[I browser] debbono cambiare il metodo con cui elaborano i file cookie, visto che esso è sempre sottoposto a possibili rischi derivanti dal fatto che una policy più rigorosa a livello di protezione dei cookie potrebbe compromettere il funzionamento dei siti web già esistenti”, – ha aggiunto Weaver.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *