Cotización de descuento para licencias múltiples
Asunto Explotación de DoubleClickjacking

Explotación de DoubleClickjacking

Por Mezo en Asunto
Traducir a:
Español

Los analistas de amenazas han descubierto una nueva clase de vulnerabilidades basadas en el tiempo que explota una secuencia de doble clic para permitir ataques de clickjacking y acceso no autorizado a cuentas en numerosos sitios web importantes. Esta técnica, denominada DoubleClickjacking, introduce un nuevo enfoque de manipulación de la interfaz de usuario que elude las medidas de seguridad existentes.

Un nuevo enfoque para el clickjacking

A diferencia de los métodos tradicionales de clickjacking que se basan en un solo clic del usuario, DoubleClickjacking aprovecha el breve retraso entre dos clics consecutivos. Si bien esto puede parecer un cambio menor, evita de manera efectiva protecciones como el encabezado X-Frame-Options y la configuración de cookies SameSite: Lax/Strict.

El clickjacking, también conocido como UI redressing, engaña a los usuarios para que interactúen con elementos que perciben como inofensivos (como botones) y luego desencadena acciones no deseadas, como la exfiltración de datos o violaciones de seguridad. El DoubleClickjacking perfecciona este concepto al explotar el intervalo entre clics, lo que permite a los atacantes anular los controles de seguridad y secuestrar cuentas con una mínima participación del usuario.

Cómo funciona el ataque

La técnica se desarrolla en la siguiente secuencia:

  • Un usuario visita un sitio web fraudulento que abre automáticamente una nueva pestaña del navegador o le solicita que lo haga.
  • Esta nueva ventana, que puede aparecer como una verificación CAPTCHA de rutina, indica al usuario que haga doble clic.
  • Cuando se produce el doble clic, el sitio original redirecciona sigilosamente a una página maliciosa, como una solicitud de autorización OAuth.
  • Al mismo tiempo, la ventana emergente se cierra, lo que lleva al usuario a aprobar una solicitud de permiso crítica en el sitio original sin saberlo.

Dado que la mayoría de las defensas de seguridad web están diseñadas para contrarrestar solo los clics forzados, este método elude de manera eficaz las medidas de seguridad convencionales. Medidas como X-Frame-Options, cookies SameSite y Content Security Policy (CSP) no pueden mitigar esta amenaza.

Medidas preventivas y soluciones a largo plazo

Para solucionar este problema, los desarrolladores de sitios web pueden implementar protecciones del lado del cliente que deshabiliten los botones de acción esenciales a menos que se detecte un movimiento del mouse o una pulsación de una tecla iniciados por el usuario. Algunas plataformas, incluida Dropbox, ya emplean este tipo de mecanismos de defensa para evitar interacciones no autorizadas.

Como solución a largo plazo, los expertos en seguridad recomiendan que los proveedores de navegadores establezcan nuevos estándares similares a X-Frame-Options para mitigar eficazmente los ataques basados en doble clic.

Una nueva forma de abordar el clickjacking

DoubleClickjacking es una evolución de técnicas de clickjacking bien documentadas, que explotan sutiles brechas de tiempo entre las acciones del usuario para intercambiar elementos legítimos de la interfaz de usuario por otros engañosos en un instante.

Esta revelación surge tras una revelación anterior de falsificación de ventanas cruzadas (gesture-jacking), otra variante del clickjacking. Esa técnica persuade a los usuarios a presionar o mantener presionadas teclas como Enter o Space en un sitio comprometido, lo que inicia acciones no deseadas.

En plataformas como Coinbase y Yahoo!, los atacantes podrían aprovechar el secuestro de gestos para secuestrar cuentas. Si un usuario conectado visita un sitio web no seguro y presiona Enter o Space, podría autorizar sin saberlo una aplicación OAuth maliciosa. Esto es posible porque ambas plataformas permiten que las aplicaciones OAuth soliciten un acceso amplio y asignen identificadores estáticos y predecibles a los botones de autorización, lo que las hace susceptibles a la explotación.

A medida que los métodos de clickjacking continúan evolucionando, los equipos de seguridad deben adoptar defensas proactivas para proteger las interacciones de los usuarios de amenazas cada vez más sofisticadas.

Cargando...