Este tipo de ataques son cada vez más comunes y suponen una amenaza oculta para los usuarios. La utilización de este supone la posibilidad de modificar la información recibida en ambos extremos, permitiendo que el usuario introduzca o facilite información personal creyendo que se trata se un formulario legítimo. En esta ocasión, un grupo de investigadores han descubierto que la página de MSN es vulnerable a ataques XSS.
El error detectado permite que una tercera persona pueda ejecutar programas que se encuentran instalados de forma local en su equipo. Esto quiere decir que si por una casualidad alguien realiza un ataque entre nuestro ordenador y el servidor de Microsoft al que estamos conectados e introduce por ejemplo una ventana en la que se permite iniciar sesión en Skype el usuario podría utilizar esta pensando que se trata de un elemento legítimo y en realidad lo que se está produciendo es un robo de toda la información que el usuario introduzca. En otro artículo explicamos cómo es un ataque Pretexting.
El grupo de investigadores han probado con la aplicación de Outlook y Skype y en ambos casos el resultados ha sido satisfactorio, tal y como se puede ver en la siguiente captura:
Capacidad para redirigir al usuario a páginas con malware
Hemos hablado de la capacidad para ejecutar programas, sin embargo, también resulta muy importante hablar de la posibilidad de la que dispondrían los ciberdelincuentes para redirigir al usuario a una página web falsa y así conseguir un robo de datos o bien la instalación de malware en el equipo del usuario.
Los investigadores han realizado un reporte a la compañía para que solucione este problema. Desde esta han confirmado que se han puesto a trabajar en el fallo y que a lo largo de este fin de semana la vulnerabilidad quedará resuelta. A cambio por haber realizado el reporte los investigadores serán añadidos al libro de reportes de este año, en lugar de recibir una cierta cantidad de dinero, algo que suele ser lo habitual en estos casos.
A continuación podéis ver un vídeo en el que se ve todo de lo que hemos hablado con anterioridad:
Os recomendamos leer nuestro tutorial sobre FinDOM-XSS para buscar y mitigar vulnerabilidades XSS en servicios web.