Apple pone a Safari a luchar contra las SuperCookies

Apple se ha movido para bloquear un vector de ataque en el marco del WebKit, el cual se aprovechaba del navegador Safari y permitía abusar de HSTS para que actuase como una SuperCookie con el objetivo de hacer tracking de usuarios. El HSTS permite a un sitio web declarar a los navegadores que solo se puede acceder a un sitio a través de HTTPS. Si un usuario intenta acceder a la versión HTTP del sitio, no se llega a realizar la petición por parte del navegador, directamente se realiza la conexión de HTTPS. El problema viene porque un sitio podía utilizar la información de este proceso como una SuperCookie para el rastreo. 

La RFC 6797 lo describe como se indica a continuación: "Los UA, User-Agent, deben conservar datos persistentes sobre sitios web que indiquen la habilitación estricta de la política de seguridad para períodos de tiempo declarados por los sitios web. Además, los UA deben almacenar en caché la información de la política de seguridad estricta más reciente para permitir que los sitios web actualicen la información". El RFC reconoce el potencial para el seguimiento de HSTS, y las posibilidades de abuso se demostraron ya en el año 2015. 

Figura 1: User Agent en el RFC

El investigador Sam Greenhalgh estableció el concepto de PIN HSTS para cada sitio redireccionado HTTPS, es exclusivo para el usuario y el sitio, y es legible desde la configuración del navegador por cualquier sitio. Esos pines podrían recuperarse en el futuro y el usuario no tiene la oportunidad de borrarlos. Un atacante que busca rastrear los visitantes del sitio puede aprovechar la caché HSTS del usuario para almacenar un bit de información en el dispositivo de ese usuario. Por ejemplo, cargar este dominio con HTTPS, podría representar un 1, mientras que ninguna entrada representaría o sería representado por un 0. Al registrar una gran cantidad de dominios, por ejemplo 32, y forzar la carga de recursos desde un subconjunto controlado de esos dominios, se puede crear un vector de bits lo suficientemente grande como para representar de forma única a cada visitante. 

Apple ha decidido mitigar ambos lados del ataque, al limitar el estado de HSTS y abordar cómo se graba el estado de HSTS. Sin duda, un interesante paso que ha dado Apple hacia una mejora en lo que a privacidad se refiere.

iOS 9.2 liberado para solventar más de 50 bugs de seguridad

Apple ha liberado la nueva versión de iOS, la cual será la 9.2. La nueva versión del sistema operaivo incluye más de 50 parches, ya que se habían acumulado otras tantas vulnerabilidades conocidas. Las vulnerabilidades que afectaban al sistema operativo eran en su mayoría críticas, ya que podrían permitir la ejecución de código arbitrario, afectar a la privacidad del usuario, e incluso, en algunos casos, causar la denegación de servicio. Cómo se puede ver de este pequeño resumen las vulnerabilidades eran críticas e importantes. 

El detalle de las vulnerabilidades resueltas se puede encontrar, como siempre, en el sitio web de Apple. A continuación aportamos los CVE que son solventados en esta nueva version de iOS, agrupándolos por tipo de impacto que provoca la explotación de la vulnerabilidad, y por criticidad.

• Ejecución de código arbitrario. CVE-2015-7048, CVE-2015-7095, CVE-2015-7096, CVE-2015-7097, CVE-2015-7098, CVE-2015-7099, CVE-2015-7100, CVE-2015-7101, CVE-2015-7102, CVE-2015-7103, CVE-2015-7064, CVE-2015-7065, CVE-2015-7066, CVE-2015-7038, CVE-2015-7039.
• Denegación de servicio. CVE-2015-7040, CVE-2015-7041, CVE-2015-7042, CVE-2015-7043. 

Figura 1: Descarga de iOS 9.2

Cabe destacar el CVE-2015-7094. Un atacante puede ganar privilegios en la red a través de un bypass de HSTS. Desde hace un tiempo el mecanismo de protección HSTS es un objetivo claro de investigadores, y poco a poco van saliendo vías y técnicas dónde se consigue bypassear. Recomendamos a todos los usuarios de iOS que actualicen su sistema lo antes posible, ya que la nueva versión, como se puede ver, viene cargada de parches.

Time-Sync con NTP en OS X & Delorean Attack a HSTS

El investigador español José Selvi presentó en Defcon su trabajo sobre los problemas que pueden provocar la sincronización de tiempos en diferentes sistemas operativos. Selvi se aprovechaba de este hecho para atacar y poder manipular las respuestas de los servidores NTP con todo lo que ello podía conllevar. Además, ha publicado en su blog una cadena de artículos dónde va explicando paso a paso los diferentes conceptos y cómo llevó a cabo la investigación.

Cuando hace el estudio sobre la sincronización de tiempos se detalla que los sistemas OS X anteriores a Mavericks utilizan una sincronización de reloj muy sencilla, sin ningún tipo de restricción de seguridad por lo que utilizando el ataque Delorean, del propio Selvi, se podría manipular los tiempos realizando un MiTM. Estos sistemas utilizan un servicio denominado NTPd que se ejecuta y sincroniza el tiempo cada 9 minutos.

Apple cambió la forma de funcionar en sus sistemas más nuevos. El servicio NTPd ya no cambia la hora por sí mismo. La diferencia de tiempo se almacena en /var/db/ntp.drift y otro servicio denominado pacemaker comprueba el valor y cambia el reloj si es necesario. Pacemaker no implementa ninguna función de seguridad, por lo que podría ser atacado utilizando Delorean. En el siguiente video se puede ver el ataque Delorean en un sistema OS X.

Figura 1: Delorean Attack en OS X

Cuando un usuario abre el menú Date & Time Preferences, OS X sincroniza de forma automática la hora, es decir, de forma transparente para el usuario. En este instante también se podría utilizar el ataque Delorean. En el siguiente video se deja la charla que presentó Selvi en Black Hat Europe 2014 en la que realiza bypass de HSTS basándose en el estudio del protocolo NTP.

Figura 2: Confrencia de ataques a HSTS de José Selvi en BlackHat Europe 2014

En el blog de nuestro compañero Chema Alonso tienes un artículo resumen que explica y describe de forma resumida el ataque descrito por José Selvi y cómo puede aplicarse también en ataques con los protocolos IPv6.