El ataque SpookJS permite evitar el aislamiento de sitios en Google Chrome

Site Isolation in Google Chrome

Un grupo de científicos de universidades de Australia., Israel y Estados Unidos han presentado un ataque de canal lateral que permite recuperar datos de Google Chrome y navegadores basados ​​en Chromium protegidos por la función Site Isolation.

El ataque se denomina fantasma.js (o SpookJS), que es una referencia directa a la Derretimiento y espectro vulnerabilidades del procesador descubiertas en 2018. Aunque ambos ataques fueron demostrados sólo como un concepto en aquel entonces, demostraron que hay muchos defectos en el diseño de los procesadores modernos.

Como resultado, Intel y AMD se comprometieron a cambiar los futuros diseños de sus CPU, haciéndolos más seguros, y los proveedores de software han aumentado la protección de sus aplicaciones para dificultar o incluso evitar la explotación de dichos errores..

Google fue una de las primeras empresas en implementar defensas, agregando una nueva característica a Chrome llamada Aislamiento del sitio. Esta característica divide el código JavaScript para cada dominio., prevenir ataques de JavaScript tipo Spectre y robar información de otras pestañas de usuario abiertas.

Sin embargo, Los científicos ahora han informado que la versión actual de Site Isolation es ineficaz.. Aunque el aislamiento del sitio separa los dominios entre sí (por ejemplo, ejemplo.com de atacante.com), los subdominios no están aislados (por ejemplo, atacante.example.com desde login.example.com). Spook.js explota este mismo defecto en el diseño de Site Isolation. Además, Los investigadores creen que Google es consciente del problema., pero no puedo hacer nada al respecto, ya que la separación del código JavaScript a nivel de subdominio dañará 13.4% de todos los sitios en Internet.

Como resultado, Los expertos lograron crear una herramienta JavaScript Spook.js que permite ataques de canal lateral como Spectre en Chrome y navegadores basados ​​en Chromium que se ejecutan en Intel., Procesadores AMD y Apple M1. La herramienta extrae datos de los mismos subdominios donde se encuentra el sitio atacado., eso es, solo funcionará si el atacante logra inyectar Spook.js en el recurso objetivo.

Como se dijo, Los investigadores destacaron especialmente que muchos sitios permiten a los usuarios crear sus propios subdominios y ejecutar código JavaScript., como tumblr, GitHub, Bitbucket, y muchos otros. Además, Los sitios pueden simplemente ser pirateados específicamente para llevar a cabo un ataque..

en su informe, Los expertos demuestran el exitoso compromiso de Tumblr y Bitbucket, pero también admita que no todos los sitios que admiten la creación de subdominios tienen datos que valga la pena robar.. Por ejemplo, Google es de interés en este sentido.: en este caso, Los científicos crearon un sitio en Google Sites., donde subieron Spook.js para crear una página maliciosa. Como resultado, Pudieron recuperar imágenes cargadas en la cuenta personal de Google Workspace o Google Photo de la víctima..

Los investigadores también empaquetaron Spook.js en una extensión de Chrome que cargaron en el navegador.. Dado que todo el código se ejecutó en un solo proceso., Spook.js pudo extraer datos de otras extensiones, que durante el experimento eran contraseñas que la extensión LastPass completaba automáticamente en el navegador de la víctima. De todos los ataques, Los expertos consideraron que esto era lo más grave., ya que los usuarios, como una regla, instalar una gran cantidad de extensiones, muchos de los cuales tienen acceso a todos los datos, y como un resultado, Spook.js “ve” todo esto.

Los expertos ya han notificado a todas las empresas cuyos productos probaron (incluyendo Intel, AMD, Google, tumblr, LastPass y Atlassian) sobre el problema. Google tomó en serio los hallazgos de los investigadores y anunciado el verano pasado que Site Isolation ahora funcionará en el nivel de extensión, separando su código JavaScript entre sí.

Desgraciadamente, Los expertos señalan que esto no ayuda a defenderse contra otras variaciones del ataque Spook.js..

Los desarrolladores web deben separar inmediatamente el JavaScript proporcionado por el usuario que no sea de confianza del resto del contenido del sitio colocando todo el JavaScript proporcionado por el usuario en un dominio con un eTLD diferente. + 1. De este modo, un aislamiento fuerte no permitirá que el código proporcionado por un atacante se combine en un proceso con datos potencialmente confidenciales, haciéndolo inaccesible incluso para Spook.js, ya que no puede salir del proceso.los autores de Spook.js dicen.

Déjame recordarte que también informé que Nuevas vulnerabilidades ayudan a eludir la protección de Spectre en sistemas Linux.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *