La API de protección en línea de Kaspersky queda abierta al abuso por parte de los sitios web


Twitter restringe el acceso de los desarrolladores a las API
La compañía ha lanzado más actualizaciones a su plataforma de desarrollador a medida que trabaja para reducir el uso de la API de Twitter. Leer más: https://zd.net/2JSfFMN

Las vulnerabilidades en el software de Kaspersky han dejado una API interna abierta al abuso por parte de los webmasters y hasta ahora los intentos de parche han fallado.

El lunes, el desarrollador de software Wladimir Palant documentado la saga, que comenzó después de que él comenzó a investigar las características de Kaspersky Web Protection incluidas en software como Kaspersky Internet Security 2019. La funcionalidad de protección en línea incluye escaneos de resultados de búsqueda para eliminar enlaces potencialmente maliciosos, bloqueo de anuncios y prevención de seguimiento.

En diciembre del año pasado, el desarrollador encontró un conjunto de vulnerabilidades y problemas de seguridad en la función Protección web, que puede ser habilitada por cualquier sitio web.

Web Protection necesita poder comunicarse con la aplicación principal de Kaspersky y un valor de firma "secreto", que en teoría no es conocido por los dominios web, está habilitado para garantizar una comunicación segura. Sin embargo, una falla de seguridad permitió a los sitios web obtener esta clave "con bastante facilidad", según Palant, y "permitirles establecer una conexión con la aplicación Kaspersky y enviar comandos al igual que lo haría Web Protection".

Las extensiones de Chrome y Firefox usan mensajes nativos para recuperar la firma, mientras que Internet Explorer lee las inyecciones de script. Sin una extensión de navegador, Kaspersky inyectará sus scripts directamente en páginas web, y aquí es donde la primera vulnerabilidad de la nota, CVE-2019-15685, apareció a través del abuso de URL Advisor y marcos para extraer la firma.

"Los sitios web podrían usar esta vulnerabilidad, por ejemplo, para desactivar silenciosamente la funcionalidad de protección de bloqueo y seguimiento de anuncios", dice el desarrollador. "También podrían hacer bastantes cosas donde el impacto no era tan obvio".

Ver también: El descargador DePriMon utiliza formas novedosas de infectar su PC con malware de ColorLambert

Después de que se informó la falla, Kaspersky desarrolló una solución en julio de 2019 al bloquear el acceso a algunas funciones a los sitios web en los productos 2020. Sin embargo, aún se podrían aceptar otros comandos, como incluir sitios web en la lista blanca en bloqueadores de anuncios (CVE-2019-15686) También surgió un nuevo problema debido al parche fallido; los sitios web pudieron acceder a los datos del sistema del usuario, incluidos identificadores únicos de la instalación de Kaspersky en una PC (CVE-2019-15687)

"Cuando probé el nuevo Kaspersky Internet Security 2020, extraer el secreto de los guiones inyectados seguía siendo trivial y el principal desafío era adaptar mi código de prueba de concepto a los cambios en la convención de llamadas API", dice Palant. "Francamente, no puedo culpar a los desarrolladores de Kaspersky por ni siquiera intentarlo. Creo que defender sus scripts en un entorno que no pueden controlar es una causa perdida".

Esta fuga de datos introducida inadvertidamente no fue el final de la historia. Palant dice que el parche también introdujo una nueva vulnerabilidad que podría usarse para desencadenar un bloqueo en el proceso antivirus, dejando a los sistemas vulnerables al compromiso, rastreados como CVE-2019-15686.

La empresa de ciberseguridad luego intentó otra solución, resolviendo la fuga de datos y "principalmente" solucionando el problema del bloqueo; los sitios web ya no pueden provocar un bloqueo, pero las extensiones del navegador o las aplicaciones locales posiblemente sí.

TechRepublic: Compromiso de correo electrónico comercial: 5 formas en que podría ocurrir este fraude y qué se puede hacer para evitarlo

Se ha desarrollado un nuevo parche y estará disponible el 28 de noviembre, pero dado un enfoque de inyección de secuencia de comandos alternativa en lugar de depender exclusivamente de las extensiones del navegador, el desarrollador no tiene esperanzas cuando se trata de la verdadera resolución del problema.

"Quizás Kaspersky está tan apegado a los scripts inyectados directamente en las páginas web porque se consideran una característica distintiva de su producto, ya que puede hacer su trabajo incluso si los usuarios se niegan a instalar extensiones", dice el desarrollador. "Pero esa característica también es un peligro para la seguridad y no parece ser reparable".

"Sin embargo, una cosa no cambiará: los sitios web aún pueden enviar comandos a las aplicaciones de Kaspersky. ¿Todas las funcionalidades que pueden activar allí son inofensivas? No apostaría por eso".

CNET: Según los informes, arrestaron al miembro del grupo detrás del hack de la cuenta de Twitter de Jack Dorsey

Actualización 14.14 GMT: Un portavoz de Kaspersky le dijo a ZDNet:

"Kaspersky ha solucionado problemas de seguridad en el componente de protección web en sus productos y extensiones de producto para Google Chrome. Estos problemas de seguridad fueron solucionados por los parches 2019 I, J y 2020 E, F, que se entregaron a los usuarios a través de los procedimientos de actualización automática.

Es posible que sea necesario reiniciar para aplicar estas actualizaciones.

La compañía también recomienda que los usuarios se aseguren de que las extensiones de protección de Kaspersky para los navegadores web estén instaladas y habilitadas. La información detallada sobre los problemas resueltos está disponible en Kaspersky sitio web".

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original