Te damos la bienvenida a la comunidad de T!Estás a un paso de acceder al mejor contenido, creado por personas como vos.

O iniciá sesión con
¿No tenés una cuenta?
Los usuarios que normalmente sólo se descargan archivos sólo de sitios web de confianza ahora pueden ser engañados por un nuevo tipo de vulnerabilidad Web: éste los contras en la descarga de archivos ejecutables de carga útil inversa que en realidad no están alojados en el sitio web para el que primero pensaron.



Este ataque ha sido el nombre refleja de descarga de archivos (RFD) y es similar a la reflejada cross-site scripting (XSS), donde los usuarios son engañados para que haga clic en el enlace específicamente diseñado a sitios legítimos que obligan a sus navegadores para ejecutar código rogue contenida en los propios URLs

En el caso de la RFD, el navegador de la víctima no se ejecuta el código, pero ofrece un archivo para su descarga con una extensión ejecutable como bat o cmd que contiene comandos de shell o archivos de script como JS, VBS, WSH que se ejecutará a través de Windows host de scripts basado (Wscript.exe). El contenido del archivo se pasan a través de la URL atacante generado que el usuario hace clic en, el sitio que refleja la entrada de vuelta al navegador como una descarga de archivos.



Esto permite a los ataques de ingeniería social para convencer porque a pesar de que no está físicamente alojado en la página web específica, el archivo todavía parece originarse de la misma. Los usuarios tendrían todavía tienen que aprobar la descarga y ejecutar el archivo sí mismos, sin embargo, esto no sería difícil para el atacante convenciera a hacerlo.

Por ejemplo, un correo electrónico falso de un banco pidiendo a los usuarios para descargar e instalar un nuevo producto de seguridad que protege a sus sesiones de banca podría ser muy convincente si el enlace de descarga incluida señaló volver al sitio web de bienes del banco - y eso es exactamente lo que las vulnerabilidades RFD permiten.

De acuerdo con el investigador de seguridad Trustwave Oren Hafif, que descubrió el problema, un sitio web es vulnerable a este ataque si se cumplen tres condiciones. La gran mayoría de los sitios que usan JSON (JavaScript Object Notation) o JSONP (JSON con relleno) - dos tecnologías web muy populares - cumple con esos criterios. Los sitios que no usan JSON también pueden ser vulnerables, dijo.