Detectado Spoofing durante autentificación básica HTTP en IE7

by | Jun 26, 2007 | Noticias, Profesional | 0 comments

HTTP proporciona un mecanismo de intercambio de respuestas simples que puede ser utilizado para una autenticación básica del usuario que solicita determinados recursos. El servidor solicita los datos y el cliente proporciona la información que lo autentifica. Esto se produce generalmente a través de una ventana de diálogo.

Sin embargo, es posible engañar al navegador, para que la referencia del servidor (nombre del dominio mostrada en la URL del sitio), no sea la verdadera, de tal modo que el usuario envíe información a un sitio falso.

La debilidad se produce en la interpretación de dominios internacionales, el estándar IDN (International Domain Name), que permite la utilización de caracteres unicode en los nombres de dominios.

La norma IDN para nombres de dominio internacionalizados, utiliza Unicode para poder usar nombres de dominio multilingües, los que incluyan caracteres españoles, griegos, cirílicos, hebreos, árabes, y hasta ideogramas japoneses, chinos y coreanos.

Un atacante puede utilizar esta vulnerabilidad para realizar ataques de phishing, entre otros que involucren alguna acción de “spoofing”, esto es, hacer que una solicitud parezca venir de un sitio diferente al que realmente la realiza.

Para explotar este problema, un atacante debe convencer a un usuario confiado, que visite una página web maliciosamente construida.

No hacer clic sobre enlaces recibidos en mensajes no solicitados, ayuda a disminuir los riesgos de caer en este tipo de trampa.

La protección anti-phishing de Internet Explorer 7, no siempre resultará efectiva en estos casos.

Una prueba de concepto ha sido publicada para demostrar el problema.

Son afectadas todas las versiones de Internet Explorer 7.

 

GRATIS – Plan de cyberseguridad para su empresa: Aquí

Obtenga nuestro portfolio de servicios: Aquí

Suscríbase a nuestro Newsletter: Aquí

Realiza su consulta cómo proteger su Negocio: Aquí

Informe a sus colegas del area de tecnología

Comparte esta información con colegas y superiores

Guarda este post para consultas

Descargue las Tendencias de cyberseguridad: Aquí

Suscribirse a nuestro canal de YouTube: Aquí

Descargue nuestras infografías: Aquí

Conozca la opinión de nuestros clientes: Aquí

Acceda a Cursos Online de entrenamiento en seguridad informática: Aquí