Nuevo ataque usando HTML / CSS invisible

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No copie y pegue comandos,  puede ser hackeado

Recientemente, Gabriel Friedlander, fundador de la plataforma de capacitación en conciencia de seguridad Wizer, demostró un truco obvio pero sorprendente que lo hará ser cauteloso al copiar y pegar comandos de páginas web.

No es inusual que tanto los desarrolladores novatos como los expertos copien los comandos de uso común de una página web (ejem, StackOverflow) y los peguen en sus aplicaciones, un símbolo del sistema de Windows o una terminal de Linux.

Pero Friedlander advierte que una página web podría estar reemplazando de manera encubierta el contenido de lo que va en su portapapeles, y lo que realmente termina siendo copiado en su portapapeles sería muy diferente de lo que tenía la intención de copiar.

Peor aún, sin la debida diligencia necesaria, el desarrollador solo puede darse cuenta de su error después de pegar el texto, momento en el cual puede ser demasiado tarde.

En una simple prueba de concepto (PoC) publicada en su blog, Friedlander pide a los lectores que copien un comando simple con el que la mayoría de los administradores de sistemas y desarrolladores estarían familiarizados:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ahora, pegue lo que copió del blog de Friedlander en un cuadro de texto o Bloc de notas, y es probable que el resultado lo deje sorprendido:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No solo obtiene un comando completamente diferente presente en su portapapeles, sino que, para empeorar las cosas, tiene un carácter de nueva línea (o retorno) al final.

Esto significa que el ejemplo anterior se ejecutará tan pronto como se pegue directamente en una terminal de Linux.

Aquellos que pegaron el texto pueden haber tenido la impresión de que estaban copiando el comando familiar e inocuo sudo apt update que se utiliza para obtener información actualizada sobre el software instalado en su sistema.

Pero eso no fue exactamente lo que sucedió.

¿Qué causa esto?

La magia está en el código JavaScript oculto detrás de la configuración de la página HTML de PoC por Friedlander.

Tan pronto como copie el texto "sudo apt update" contenido en un elemento HTML, se ejecutará el fragmento de código que se muestra a continuación.

Lo que sucede después es un 'detector de eventos' de JavaScript que captura el evento de copia y reemplaza los datos del portapapeles con el código de prueba malicioso de Friedlander:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tenga en cuenta que los detectores de eventos tienen una variedad de casos de uso legítimos en JavaScript, pero este es solo un ejemplo de cómo se pueden usar incorrectamente.

"Esta es la razón por la que NUNCA debe copiar y pegar comandos directamente en su terminal", advierte Friedlander.

"Crees que estás copiando una cosa, pero es reemplazada por otra, como un código malicioso. Todo lo que necesitas es una sola línea de código inyectada en el código que copiaste para crear una puerta trasera a tu aplicación".

"Este ataque es muy simple pero también muy dañino".

Un usuario de Reddit** también presentó un ejemplo alternativo de este truco que no requiere JavaScript: texto invisible creado con estilo HTML y CSS que se copia en su portapapeles cuando copia las partes visibles del texto:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"El problema no es solo que el sitio web puede cambiar el contenido de su portapapeles usando JavaScript", explica el usuario, SwallowYourDreams.

"También podría ocultar comandos en el HTML que son invisibles para el ojo humano, pero que serán copiados por la computadora".

Y, por tanto, otra razón para no confiar nunca ciegamente en lo que copia de una página web: es mejor pegarlo primero en un editor de texto.

Fuente:
Wizer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fiddle meta **
Hidden commands in HTML
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta