Los expertos en seguridad aconsejan constantemente a los usuarios no volver a utilizar contraseñas en varias cuentas, pero el mensaje a menudo cae en oídos sordos. Ahora, los funcionarios de Mozilla están descubriendo que los usuarios avanzados no siempre siguen este consejo, después de descubrir que un atacante fue capaz de poner en peligro la cuenta de un usuario de Bugzilla usando una contraseña tomada de una violación de datos en un sitio diferente.
El atacante puede haber sabido a quien tenia en sus manos, porque el objetivo era un usuario con privilegios de acceso restringido a información sensible acerca de los errores de seguridad en los productos de Mozilla. Bugzilla es el gran sistema de seguimiento utilizado por Mozilla para sus diversos proyectos, y aunque gran parte de la información es pública, un subconjunto de la misma se mantiene como privada. En concreto, la información sobre fallos de seguridad que se encuentran en proceso de ser arreglados o evaluados se mantienen privados hasta que está disponible un parche o la empresa decide no arreglarlo.
Funcionarios de Mozilla han dicho que el atacante en este caso puede haber tenido acceso a la cuenta de la víctima desde septiembre del 2013. El registro mas antiguo de acceso fue en septiembre de 2014. Una vez en la cuenta de la víctima, el atacante aparentemente fue capaz de robar información acerca de una vulnerabilidad de Firefox que Mozilla arregló el mes pasado, pero sólo después de que se encontró un exploit para la misma siendo utilizado públicamente.
"La cuenta que el atacante irrumpió fue deshabilitada poco después de que Mozilla descubrió que había sido comprometida. Creemos que el atacante utilizó la información de Bugzilla para explotar la vulnerabilidad que arreglamos el 6 de agosto, no tenemos ninguna señal de que cualquier otra información obtenida por el atacante haya sido utilizada contra los usuarios de Firefox. La versión de Firefox liberada el 27 de agosto fijo todas las vulnerabilidades que el atacante podía ver acerca de Firefox y podría haber utilizado para dañar a los usuarios", dijo Richard Barnes de Mozilla en un blog que explica el ataque.
El error sobre el que funcionarios de Mozilla creen que el atacante se robó información fue parcheado el 6 de agosto. Se relaciona con la forma en que el navegador maneja la política de mismo origen en algunos casos. Mozilla se enteró de la falla cuando un usuario fue comprometido visitando un sitio de noticias ruso que estaba sirviendo anuncios con código de explotación en ellos.
Funcionarios de Mozilla dijeron que el atacante que tuvo acceso al sistema de Bugzilla en última instancia tuvo acceso a 185 bugs diferentes, incluyendo 53 vulnerabilidades de seguridad graves. La buena noticia es que 43 de los 53 defectos ya había sido arreglados para cuando el atacante llegó a ellos. Pero, los 10 restantes aún estaban disponibles para explotar.
Desde el FAQ de Mozilla sobre el ataque:
"Para los 10 bugs restantes, el atacante tenía alguna ventana de tiempo entre el momento en que se accedió al error y cuando fue arreglado en Firefox:
2 errores menos de 7 días
5 errores entre 7 días y 36 días
3 errores más de 36 días (131 días, 157 días, 335 días)
La compañía dijo que mientras que el atacante podría haber utilizado cualquiera de estas vulnerabilidades para atacar a los usuarios, el unico ataque que se conoce fue la explotación del fallo parchado el mes pasado.
"Técnicamente, es posible que alguno de estos errores podrían haberse utilizado para atacar a los usuarios de Firefox en la ventana de vulnerabilidad. Uno de los errores abiertos se utilizó menos de 36 días para un ataque usando una vulnerabilidad que fue parchada el 6 de agosto de 2015. Con excepción de ese ataque, sin embargo, no tenemos ningún dato que indica que otros errores fueron explotados ", dice el FAQ.
 |
Funcionarios de Mozilla han dicho que el atacante en este caso puede haber tenido acceso a la cuenta de la víctima desde septiembre del 2013. El registro mas antiguo de acceso fue en septiembre de 2014. Una vez en la cuenta de la víctima, el atacante aparentemente fue capaz de robar información acerca de una vulnerabilidad de Firefox que Mozilla arregló el mes pasado, pero sólo después de que se encontró un exploit para la misma siendo utilizado públicamente.
"La cuenta que el atacante irrumpió fue deshabilitada poco después de que Mozilla descubrió que había sido comprometida. Creemos que el atacante utilizó la información de Bugzilla para explotar la vulnerabilidad que arreglamos el 6 de agosto, no tenemos ninguna señal de que cualquier otra información obtenida por el atacante haya sido utilizada contra los usuarios de Firefox. La versión de Firefox liberada el 27 de agosto fijo todas las vulnerabilidades que el atacante podía ver acerca de Firefox y podría haber utilizado para dañar a los usuarios", dijo Richard Barnes de Mozilla en un blog que explica el ataque.
El error sobre el que funcionarios de Mozilla creen que el atacante se robó información fue parcheado el 6 de agosto. Se relaciona con la forma en que el navegador maneja la política de mismo origen en algunos casos. Mozilla se enteró de la falla cuando un usuario fue comprometido visitando un sitio de noticias ruso que estaba sirviendo anuncios con código de explotación en ellos.
Funcionarios de Mozilla dijeron que el atacante que tuvo acceso al sistema de Bugzilla en última instancia tuvo acceso a 185 bugs diferentes, incluyendo 53 vulnerabilidades de seguridad graves. La buena noticia es que 43 de los 53 defectos ya había sido arreglados para cuando el atacante llegó a ellos. Pero, los 10 restantes aún estaban disponibles para explotar.
Desde el FAQ de Mozilla sobre el ataque:
"Para los 10 bugs restantes, el atacante tenía alguna ventana de tiempo entre el momento en que se accedió al error y cuando fue arreglado en Firefox:
2 errores menos de 7 días
5 errores entre 7 días y 36 días
3 errores más de 36 días (131 días, 157 días, 335 días)
La compañía dijo que mientras que el atacante podría haber utilizado cualquiera de estas vulnerabilidades para atacar a los usuarios, el unico ataque que se conoce fue la explotación del fallo parchado el mes pasado.
"Técnicamente, es posible que alguno de estos errores podrían haberse utilizado para atacar a los usuarios de Firefox en la ventana de vulnerabilidad. Uno de los errores abiertos se utilizó menos de 36 días para un ataque usando una vulnerabilidad que fue parchada el 6 de agosto de 2015. Con excepción de ese ataque, sin embargo, no tenemos ningún dato que indica que otros errores fueron explotados ", dice el FAQ.
