Una vulnerabilità zero-day che interessa tutte le versioni di Internet Explorer consente agli aggressori di eseguire un attacco di tipo clickjacking, al fine di rubare i cookie di sessione. L'attacco, soprannominato cookiejacking, è stato pubblicato Lunedi sul blog del ricercatore italiano Rosario Vallotta. Per la dimostrazione, Valotta ha sottratto le credenziali di accesso a Facebook, Gmail e Twitter. "Qualsiasi sito web. Qualsiasi cookie. Il limite è solo la vostra immaginazione", scrive sul blog. Non è semplice tirare fuori l'attacco e combina diverse tecniche tra cui social engineering, però, se fatto correttamente può risultare molto efficace.
La tecnica sfrutta un bug nella gestione dei cookie da parte del browser Microsoft. La vulnerabilità interessa tutte le versioni di IE, tra cui Internet Explorer 9, su ogni versione del sistema operativo Windows, e dunque Valotta avverte che il pool di potenziali vittime è enorme. Microsoft ha risposto dicendo che, a causa del livello di interazione, non si tratta di un problema ad alto rischio. Nonostante questo, è sempre meglio evitare di accettare richieste inviate dagli amici relative a giochi o applicazioni sospette e non usare Internet Explorer.
Nessun commento:
Posta un commento