Bugs y Exploits

Hugo Vázquez, de Infohacking, ha descubierto que el sello de seguridad VeriSign que garantiza la autenticidad de una página, podría ser manipulado mediante inyección HTML. Cualquier dominio podría aparecer como auténtico y avalado por el sello la prestigiosa VeriSign, símbolo de la confianza en cuestión de certificados de seguridad. Esto permitiría realizar ataques phishing mucho más sofisticados.

07-11-2005 - VeriSign es una de las empresas confiables de mayor prestigio que, como Autoridad Certificadora, se dedica a certificar la validez de certificados de terceros. El sello VeriSign supone una prueba de que la página que visitan compradores y usuarios de servicios seguros, pertenece realmente a la empresa u organización con la que se quieren comunicar. Representa una garantía de seguridad contra el cada vez más popular phishing y otro tipo de estafas. Habitualmente todo tipo de tiendas y bancos online, lucen el sello VeriSign que certifica que la transacción es segura gracias al certificado SSL y que además se está realizando con la página legítima.

Infohacking.com ha descubierto que, gracias a una inyección HTML, cualquiera puede lucir el sello de VeriSign y aparecer como una página confiable que cumple todas las condiciones de seguridad exigidas por la empresa para poseerlo. La página que certifica la posesión del sello, además, pertenece realmente a VeriSign, y sólo un minucioso estudio de la URL puede levantar alguna sospecha.

Habitualmente, para comprobar la veracidad del sello en una página segura, el usuario puede seguir el enlace sobre la imagen del sello y será reconducido a una página cifrada de la propia VeriSign que detalla y muestra toda la información relativa a la seguridad de la página. El enlace genérico es:

https://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=www.PÁGINASEGURA.com & lang=en

El fallo se encuentra en el parámetro dn. Si se usa esta forma:

dn=< código_inyectado >.< dominio_válido >

Se puede intentar "reconstruir" una página que simule un certificado válido, aprovechando la validez de cualquier otro dominio realmente seguro. En el código inyectado, se podría simular una tabla parecida a la que aparece cuando se comprueba un dominio seguro real, y dar la sensación de que se está visitando una página perfectamente legal, con el sello de garantía de seguridad reconocido por la propia VeriSign. Como prueba de concepto simple, se ofrece este enlace:

https://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=%22%3E%3Cbr%3E%3Cb%3EYou%20can%20trust%20INFOHACKING
%3Cb%3E%3Cfont%20color=white%3E.test & lang=en

Este fallo invalida la fiabilidad de una de las prácticas más recomendables a la hora de detectar un caso de phishing. Siempre es aconsejable comprobar la veracidad de una página a través de el estudio de sus certificados, pero gracias a este grave error, una página con la que se pretenda realizar un ataque phishing podría aparecer como perfectamente válida y avalada por VeriSign.

Es de suponer que el fallo será corregido en breve tras haberse hecho público a través de la página de www.infohacking.com. En ella se hace hincapié en la gravedad del error, que levanta sospechas sobre la raíz de muchos árboles de confianza. "Si no puedes confiar en una de las Autoridades Certificadoras más importantes del mundo... ¿en quién puedes confiar?"

Más información y referencias:

http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/verisign/index.html

Sergio de los Santos
http://hackpasoapaso.tk