Desde Mozilla y a través de su blog han advertido de un exploit que se da tanto en JavaScript como en el visor de PDF de Firefox, capaz de inyectar un script que puede buscar y cargar archivos locales. Según explican, la vulnerabilidad permite cargar las páginas con el exploit y robar archivos en segundo plano con suma facilidad.
La Fundación Mozilla ha publicado una actualización de seguridad (MFSA 2015-78) destinada a corregir una vulnerabilidad crítica en el navegador Firefox.
Mientras que en Windows parece que el ataque se centra específicamente en archivos de configuración de FTP y en la información de la cuenta, en Linux el ataque parece más vulnerable, incluyendo las configuraciones globales y directorios de usuario. Los usuarios de Mac parece que, al menos de momento, no están en peligro, aunque no se descarta que el ataque descubierto finalmente también les incluya.
Desde Mozilla aseguran que el ataque no parece generalizado, centrándose únicamente en una red de publicidad rusa, aunque advierten que es probable que sea sólo cuestión de tiempo que se extienda a medida que más personas lo descubran.
Por tanto, todas las versiones de Firefox se ven afectadas y Mozilla urge a los usuarios para protegerse contra el exploit a una actualización inmediata a la versión 39.0.3.
A principios de esta semana, el investigador de Mozilla, Cody Crews descubrió un anuncio (malvertising) en un sitio ruso que roba archivos locales y los sube a un servidor ucraniano, sin que el usuario sepa siempre.
El anuncio malicioso explotaba una grave vulnerabilidad en Firefox PDF Viewer y en el contexto de JavaScript, con el fin de inyectar un script capaz de buscar archivos locales del usuario.
Las versiones de Mozilla Firefox que no contienen el visor de PDF, como Firefox para Android, no son afectadas por esta vulnerabilidad bautizada como "Same origin violation and local file stealing via PDF reader".
Todo lo que un atacante tiene que hacer es cargar la página con el script, sentarse y relajarse. El script roba silenciosamente archivos en segundo plano.
Según el investigador, el exploit específicamente busca:
- Archivos de configuración de FTP, subversión, s3browser, Filezilla, libpurple e información de cuentas en los sistemas Windows.
- Archivos de configuración en los directorios en sistemas Linux y ficheros. .bash_history, .mysql_history, .pgsql_history, .sshconfiguration
En los sistemas Linux, el script envía los siguientes archivos al servidor remoto:
- /etc/passwd
- /etc/hosts
- /etc/hostname
- /etc/issue
Además, revisa el archive /etc/passwd en búsqueda de
directorios home (homedir) de los usuarios del sistema. El script luego
busca archivos en los directorios recolectados, evitando revisar en los
directorios standard de sistema (tales como daemon, bin, sys, sync y
demás)
Los archivos encontrados se suben a un servidor en Ucrania.
"El script no deja ningún rastro que se ha ejecutado en la máquina local. Si usas Firefox en Windows o Linux sería prudente cambiar las contraseñas" escribíó Veditz en el blog.
Están afectadas todas las versiones de Firefox, pero Mozilla ya ha solucionado el problema y se recomienda actualizar a Firefox 39.0.3 y Firefox ESR 38.1.1.
Fuentes:
http://www.welivesecurity.com/la-es/2015/08/11/firefox-bajo-fuego-anatomia-ataque-0-day/
http://blog.segu-info.com.ar/2015/08/vulnerabilidad-critica-en-firefox.html
http://www.elotrolado.net/noticia_mozilla-urge-a-actualizar-firefox-a-los-usuarios-de-linux-y-windows-por-una-grave-vulnerabilidad_26956
No hay comentarios:
Publicar un comentario