WebSpec revela novo ataque de cookie

WebSpec revela novo ataque de cookie. Estrutura formal WebSpec analisa segurança do navegador.

O pessoal da Technische Universität Wien, na Áustria, desenvolveu uma estrutura de segurança formal chamada WebSpec para analisar a segurança do navegador.

E eles o usaram para identificar várias falhas lógicas que afetam os navegadores da web, revelando um novo ataque baseado em cookies e uma contradição não resolvida da Política de Segurança de Conteúdo.

Essas falhas lógicas não são necessariamente vulnerabilidades de segurança, mas podem ser. São inconsistências entre as especificações da plataforma da web e a maneira como essas especificações são realmente implementadas nos navegadores da web.

O WebSpec foi desenvolvido por Lorenzo Veronese, Benjamin Farinier, Mauro Tempesta, Marco Squarcina, Matteo Maffei em um esforço para trazer rigor à segurança da web por meio de verificação automática e verificável de regras, em vez de avaliação manual.

Os navegadores, como explicam em um artigo acadêmico chamado “WebSpec: Rumo a uma análise verificada por máquina dos mecanismos de segurança do navegador“, tornaram-se tremendamente complexos e continuam a se tornar ainda mais à medida que componentes adicionais são adicionados à plataforma da web .

Os novos componentes da plataforma web passam por testes de conformidade, dizem os pesquisadores, mas suas especificações são revisadas manualmente por especialistas técnicos para entender como as novas tecnologias interagem com APIs legadas e implementações de navegadores individuais.

Infelizmente, as revisões manuais tendem a ignorar as falhas lógicas, eventualmente levando a vulnerabilidades críticas de segurança“, explicam os cientistas da computação, apontando como oito anos após a introdução do sinalizador HttpOnly no Internet Explorer 6 – como uma forma de manter os cookies confidenciais do cliente -side scripts – os pesquisadores descobriram que o sinalizador pode ser ignorado por scripts que acessam os cabeçalhos de resposta de uma solicitação AJAX usando a função getResponseHeader .

O WebSpec usa a linguagem de prova do teorema Coq para submeter a interação dos navegadores e seu comportamento especificado a testes formais. Isso torna a segurança do navegador uma questão de provas de Teorias do Módulo de Satisfação (SMT) verificáveis ​​por máquina [ PDF ].

Para testar as inconsistências entre as especificações da web e os navegadores, os pesquisadores definiram dez “invariantes“, cada um dos quais descreve “uma propriedade da plataforma da web que se espera manter em suas atualizações e independentemente de como seus componentes podem interagir uns com os outros.

Essas invariantes ou regras representam condições testáveis ​​que devem ser verdadeiras, como “Cookies com o atributo Secure só podem ser definidos (usando o cabeçalho Set-Cookie) em canais seguros“, conforme definido em RFC 6265, Seção 4.1.2.5.

Dos dez invariantes avaliados, três falharam.

Em particular, mostramos como o WebSpec é capaz de descobrir um novo ataque ao prefixo __Host- para cookies, bem como uma nova inconsistência entre as regras de herança para a Política de Segurança de Conteúdo e uma mudança planejada no padrão HTML“, explica o artigo .

Os cookies HTTP prefixados com “__Host-” devem ser definidos apenas pelo domínio do host ou scripts incluídos nas páginas desse domínio. O WebSpec, entretanto, encontrou um ataque para quebrar o teste invariável relacionado.

Um script em execução em uma página pode modificar em tempo de execução o domínio efetivo usado para SOP [Política de Mesma Origem] através da API document.domain“, explica o documento, observando que a incompatibilidade entre as políticas de controle de acesso no Modelo de Objeto de Documento e o cookie jar permite que um script em execução em um iframe acesse a propriedade document.cookie em uma página pai se ambas as páginas definirem document.domain com o mesmo valor.

Os pesquisadores observam que, embora a plataforma da web atual permaneça vulnerável a esse ataque, eventualmente não será: a propriedade document.domain foi descontinuada, o que significa que as atualizações futuras do navegador irão omitir o suporte, algum dia.

Os autores também usaram o WebSpec para descobrir uma inconsistência com a maneira como os objetos Blob – objetos que contêm dados que podem ser lidos como texto, binários ou fluxos usando métodos de objeto integrados – herdam sua Política de Segurança de Conteúdo.

Lorenzo Veronese, um estudante de doutorado na TU Wien, levantou a questão em julho passado para o grupo de trabalho do padrão HTML, mas os diferentes comportamentos descritos na especificação CSP e no explicador do contêiner de política ainda precisam ser reconciliados.

Antonio Sartori, um engenheiro de software do Google, desenvolveu uma correção, mas ela ainda não foi integrada ao padrão HTML.

Em qualquer caso, a disponibilidade do WebSpec como uma ferramenta para avaliar formalmente o comportamento do navegador deve tornar a vida um pouco mais fácil para aqueles que lutam para manter bases de código de navegador em expansão. 

Fonte: The Register

Veja também:

Sobre mindsecblog 2385 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Inteligência artificial e cibersegurança diferenciais para o agronegócio

Deixe sua opinião!