El investigador de seguridad Paulos Yibelo ha revelado una nueva amenaza cibernética llamada DoubleClickjacking, que expone vulnerabilidades en los principales sitios web y elude de manera efectiva las protecciones existentes contra el clickjacking.
La nueva amenaza cibernética DoubleClickjacking expone importantes vulnerabilidades de sitios web
DoubleClickjacking es una clase de vulnerabilidad basada en el tiempo que aprovecha una secuencia de doble clic en lugar de un solo clic. Yibelo explicó que este cambio menor permite nuevos ataques de manipulación de la interfaz de usuario que pueden eludir todas las defensas conocidas contra el clickjacking, incluido el encabezado X-Frame-Options y las cookies de SameSite.
El clickjacking, también conocido como reparación de la interfaz de usuario, engaña a los usuarios para que hagan clic en elementos de una página web aparentemente inofensivos, lo que puede provocar la implementación de malware o la filtración de datos confidenciales. La técnica DoubleClickjacking aprovecha la brecha de tiempo entre el primer clic y el segundo clic para ejecutar ataques con una mínima interacción del usuario.
El DoubleClickjacking implica varios pasos. El atacante crea un sitio web de apariencia inocente que solicita a los usuarios que hagan doble clic en un botón, lo que puede parecer una verificación CAPTCHA. Cuando el usuario inicia el doble clic, el atacante emplea el objeto Ubicación de la ventana de JavaScript para redirigir sigilosamente a una página maliciosa, como un cuadro de diálogo de autorización de OAuth. Cuando se cierra la ventana superior, el usuario, sin saberlo, otorga acceso aprobando el cuadro de diálogo de confirmación de permiso.
Yibelo señaló que la mayoría de las aplicaciones y marcos web están diseñados para mitigar los riesgos asociados con los clics forzados únicos, lo que hace que las defensas actuales contra el clickjacking sean inadecuadas contra esta nueva variante. El ataque aprovecha el momento y la secuencia de eventos de maneras que los protocolos de seguridad existentes no pueden abordar de manera efectiva.
Las vulnerabilidades asociadas con DoubleClickjacking plantean riesgos importantes en las plataformas que utilizan OAuth para las autorizaciones de cuentas. Los sitios web afectados corren el riesgo de sufrir apropiaciones de cuentas, autorización no autorizada de aplicaciones maliciosas, alteración de configuraciones críticas de cuentas e inicio de transacciones financieras. Los principales sitios web, incluidos Salesforce, Slack y Shopify, han sido identificados como vulnerables.
Este ataque también afecta a las extensiones del navegador, como las billeteras criptográficas y las VPN, lo que permite a los atacantes desactivar funciones de seguridad esenciales o autorizar transacciones sin el consentimiento del usuario.
DoubleClickjacking puede evadir protecciones tradicionales como encabezados X-Frame-Options, políticas de seguridad de contenido (CSP) y cookies de SameSite. La vulnerabilidad aprovecha la rapidez de las interacciones del usuario, requiriendo solo un doble clic para explotar al usuario.
El investigador de seguridad envió un mensaje de advertencia, afirmando que los sitios web y los desarrolladores deben implementar urgentemente nuevas medidas de protección para abordar esta vulnerabilidad de manera efectiva.
Para abordar la vulnerabilidad de DoubleClickjacking, los expertos en seguridad recomiendan varias estrategias de mitigación. Se puede adoptar un enfoque del lado del cliente en el que los desarrolladores desactivan los botones críticos de forma predeterminada hasta que se detecta una interacción genuina del usuario, utilizando soluciones de JavaScript. Por ejemplo, un script puede desactivar los botones del formulario hasta que se identifique el movimiento del mouse o la pulsación de teclas.
Las soluciones a largo plazo implican que los proveedores de navegadores introduzcan nuevos estándares similares a X-Frame-Options para defenderse del cambio rápido de contexto durante las secuencias de doble clic. Las medidas recomendadas pueden incluir la creación de un encabezado HTTP de protección de doble clic y la adaptación de directivas CSP para tener en cuenta escenarios de múltiples clics.
Además, los desarrolladores deberían agregar scripts de protección a páginas confidenciales y aplicar controles más estrictos sobre las ventanas integradas o la navegación basada en abridores para fortalecer las defensas contra este nuevo método de ataque.
Crédito de la imagen destacada: Kerem Gülen/Midjourney
La publicación Cómo el DoubleClickjacking podría generar apropiaciones de cuentas en las principales plataformas apareció por primera vez en TechBriefly.
Source: Cómo el DoubleClickjacking podría provocar apropiaciones de cuentas en las principales plataformas
