Cuando se junta el hambre con las ganas de comer

email-html-attack.png

En esta entrada vamos a ver porque es importante el evitar las malas prácticas o dicho de otra forma, porque es bueno seguir buenas prácticas la hora de configurar nuestros equipos. Para ello vamos a ver el siguiente vídeo publicado por Acunetix

Lo que vemos en el vídeo es como a través de un mensaje de correo electrónico especialmente formado, el atacante es capaz de modificar los servidores DNS de la víctima, de forma que está a la hora de navegar puede ser redirigido a servidores maliciosos. El ataque se lleva a cabo de forma exitosa prácticamente por tres factores:

  1. La víctima abre un correo electrónico aparentemente inocente, el cual lleva incrustado ciertos iframes cuya fuente (src) son ataques (peticiones maliciosas) al router. Esto ocurre porque a Apple parece que le da igual eso de por defecto no descargar código remoto en páginas HTML. No sólo los iframes son usados para este propósito, si no también las etiquetas img, que cargan una imagen. Aunque en el vídeo lo que se ve es un iPad corriendo iOS 6.0.1, por lo visto el lector de correo electrónico por defecto de iPhone y Mac OS tienen la misma "mala costumbre". Por defecto, ningún lector de correo electrónico serio debería cargar/visualizar las imágenes remotas, así como cualquier otra etiqueta que  descargue código remotamente. Para solucionar deberías cambiar la configuración de tu lector y desactivar la opción de carga remota de imágenes.

    load_remote_images.png

  2. El segundo problema que encontramos en este ataque, es de nuevo otra mala práctica: dejar el nombre de usuario y contraseñas por defecto o usar uno común. Como vemos, en el vídeo, el atacante se aprovecha de esto. De hecho en el mismo correo electrónico se mandan varias llamadas al router (asumiendo que la ip del mismo es 192.168.1.2) con distintas contraseñas (algunas conocidas por su configuración de fábrica y otras por se repetido uso).
  3. El tercer factor que entra en juego aquí no es una mala práctica sino una vulnerabilidad del router (aunque aquí también podríamos pecar de la mala práctica si existiera parche para dicha vulnerabilidad y no lo hemos aplicado). En este caso una vulnerabilidad que se conoce como CSRF (Cross-Site Request Forgery).
Como vemos cuando se nos junta el hambre con las ganas de comer, esto no sólo afecta al dispositivo atacado, sino a todos los dispositivos que usen dicho router, ya que es éste último el que acaba comprometido.

Fuente