Amenazas a Lync Web App
Última modificación del tema: 2011-09-13
En este tema se describen las posibles amenazas para Lync Web App.
Fijación de sesión
En un ataque de fijación de sesión, el atacante establece el token de sesión del usuario antes de que se establezca la sesión entre el usuario y el servidor web. De este modo, el atacante ya dispone del identificador de la sesión y no necesita determinarlo una vez establecida la sesión. Lync Web App se ha diseñado de modo que minimice esta amenaza.
Secuestro de sesión
En el caso de un secuestro de sesión, el atacante obtiene acceso a la sesión de un usuario interceptando el tráfico no cifrado en la red. Lync Web App minimiza esta amenaza utilizando SSL como protocolo predeterminado de comunicaciones entre el cliente y Lync Web App.
Robo de sesión
Se produce un robo de sesión cuando un atacante intenta utilizar una sesión establecida entre un usuario y una aplicación web para ejecutar comandos en nombre del usuario. Para ello, el atacante envía un mensaje de correo electrónico al usuario o utiliza algún otro método para invitarle a visitar un sitio web específicamente desarrollado para la ejecución de software malintencionado. Entre los comandos que el atacante puede ejecutar se encuentran comandos encaminados a abrir firewalls, eliminar datos y ejecutar otros comandos en la red interna.
Lync Web App se ha diseñado de modo que los atacantes no puedan usar este método para controlar la sesión iniciada por un usuario en Lync Web App a través de un sitio web malintencionado.
Ataque XSS (CSS, inserción de código)
Un ataque XSS (denominado a veces también ataque CSS o ataque de inserción de código) se produce cuando un atacante utiliza una aplicación web para enviar software malintencionado, generalmente en formato de script, a un usuario de destino. El explorador del usuario de destino no detecta de ninguna manera que el script no es de confianza y lo ejecuta. Cuando se ejecuta el script malintencionado, puede obtener acceso a las cookies, los token de sesión u otra información confidencial almacenada por el explorador del usuario de destino. Este tipo de scripts también pueden volver a escribir el contenido de la página HTML.
Los ataques XSS pueden ser persistentes o reflejados. En el caso de los ataques XSS persistentes, el script malintencionado se almacena de forma permanente en el servidor web cuya seguridad se ha puesto en peligro, por ejemplo, en bases de datos, foros, registros de visitantes y campos de comentarios. Cuando el usuario obtiene acceso al servidor web, su explorador ejecutará el script. En el caso de los ataques XSS reflejados, se engaña al usuario para que haga clic en un vínculo o envíe un formulario especialmente elaborado que contiene software malintencionado. Cuando el usuario hace clic en el vínculo para enviar los datos del formulario, se envían al servidor la dirección URL, que contiene el software malintencionado, y los datos del usuario. Cuando el sitio web muestra de nuevo la información del usuario, esta parece proceder de un origen de confianza. Sin embargo, la información contiene el software malintencionado, que se ejecuta en el equipo del usuario.
Este problema de seguridad existe únicamente en los sitios web que no validan correctamente los datos proporcionados por los usuarios. Lync Web App valida rigurosamente los datos proporcionados por los usuarios para evitar esta amenaza.
Amenazas de token
HTTP es un protocolo sin conexión, y cada página web requiere varias solicitudes y respuestas de servidor para que se complete. Se usan varios métodos para mantener la persistencia de una sesión entre las solicitudes de página que se realizan a lo largo de la sesión. Uno de los métodos utilizados por el servidor web consiste en emitir un token al explorador cliente que realiza la solicitud. Este es el método utilizado por Lync Web App.
Después de que el servidor Lync Web App autentique a un usuario interno o externo, emite un símbolo en una cookie de la sesión, que se devuelve al cliente. Esta cookie se utiliza para obtener acceso al servidor en una sola sesión. Por consiguiente, los clientes deben aceptar las cookies del servidor Lync Web App para funcionar correctamente. Un atacante podría robar y utilizar este símbolo. Lync Web App mitiga esta amenaza emitiendo solamente una cookie de sesión, utilizando SSL (si está habilitado) para transportar el símbolo, borrando el símbolo cuando finaliza la sesión e imponiendo la expiración del símbolo después de un determinado período de inactividad del cliente.
Ping de token
En un ping de token, también denominado persistencia del símbolo, un usuario autenticado envía repetidas veces una solicitud al servidor web para evitar la expiración de la sesión y, por consiguiente, del símbolo de la sesión. Este tipo de ataque puede considerarse una amenaza porque omite la lógica de tiempo de espera integrada en el servidor. No obstante, el nivel de amenaza es bajo porque es necesario que se autentique primero al usuario.
Suplantación de identidad o phishing (recolección de contraseñas)
La suplantación de identidad o phishing es una especie de ataque de tipo "Man in the middle". El atacante no autorizado intenta obtener información de los usuarios presentándose como una entidad autorizada para obtenerla. Para ello, el atacante suele engañar al usuario para que escriba su contraseña o número de cuenta en un sitio web, formulario web o mensaje de correo electrónico falsos. Se recomienda informar a los usuarios finales de los métodos utilizados por los atacantes para obtener datos personales.