Una vulnerabilidad de tipo Cross-Zone Scripting o secuencia de comandos cruzados tiene lugar cuando el navegador web es susceptible a los efectos de un exploit que se aprovecha de dicha vulnerabilidad. Está relacionada con las distintas zonas que hay dentro de un navegador, y que afectan directamente al nivel de seguridad configurado en el mismo. Estas zonas son espacios separados que otorgan una u otra configuración de seguridad al navegador web.
En el caso del navegador Internet Explorer, por ejemplo, existen un total de cuatro zonas de seguridad bien definidas y conocidas:
- Internet: es la zona por defecto. Es todo aquello que no pertenece al resto de zonas.
- Intranet local: a esta zona pertenece todo aquello que esté albergado dentro de la red en la cual está conectado el equipo. No hace falta salir al “exterior”, es decir, a internet, para acceder a esta zona.
- Sitios de confianza: a esta zona pertenecen todos aquellos sitios indicados explícitamente en una lista. Los sitios que estén en la lista pueden ejecutar elementos y componentes con los permisos de seguridad mínimos. Por ejemplo, estos sitios de confianza podrían ejecutar objetos ActiveX que no estén firmados.
- Sitios restringidos: sitios a los que no es posible acceder, mientras pertenezcan a esta zona.
Y existe una zona más, que se considera una zona oculta:
- Ordenador local: en esta zona es posible acceder a ficheros que están almacenados en el equipo. Por ejemplo, desde el navegador web es posible visualizar ficheros PDF guardados en el equipo.
Habitualmente, las zonas de intranet local, sitios de confianza y ordenador local están configuradas como zonas privilegiadas. Por ello, los exploits están diseñados para saltar de la zona de internet a las zonas privilegiadas.
Este ataque también permite la ejecución de código arbitrario por parte del atacante o actor malicioso, normalmente a través de scripts (instrucciones escritas en lenguaje de programación), en zonas no privilegiadas, de forma que el código malicioso se ejecuta con los permisos de la zona privilegiada. Así pues, este tipo de vulnerabilidades están ligadas con los ataques de escalada de privilegios, y pueden tener un gran impacto. Para prevenir el gran riesgo que suponen, se recomienda mantener siempre actualizado el navegador web, y aplicarle una correcta configuración de seguridad. A nivel corporativo se recomienda la definición de una política a aplicar respecto a la configuración de los navegadores web, para evitar que esta y otras vulnerabilidades propicien un ataque.
Las vulnerabilidades el tipo Cross-Zone Scripting pueden dar lugar a las siguientes situaciones:
- Un error en el navegador web, bajo ciertas condiciones, puede permitir la ejecución de código (scripts) en una determinada zona, para que sea ejecutado con los permisos de una zona dotada con unos privilegios más elevados.
- Una configuración errónea del navegador web puede provocar que sitios no seguros o de dudosa procedencia estén listados en zonas privilegiadas del navegador.
- Una vulnerabilidad de XSS (Cross-Site scripting o secuencia de comandos en sitios cruzados) dentro de una zona privilegiada.
Este tipo de ataques han ocurrido en el pasado en reiteradas ocasiones. Se ha explotado la vulnerabilidad con tal de instalar software malicioso de manera silenciosa en el navegador web de la víctima. Basta con que la víctima visite el sitio web malicioso para que se ejecute el código dañino. Los virus informáticos que normalmente se instalan tras el ataque pueden ser de varios tipos: spyware, software de control remoto, gusanos, troyanos, mineros, etc.
