La vulnerabilidad permite la creación de enlaces a sitios que hacen descargas de archivos maliciosos cuando se les hace clic. 

Aun los usuarios que tienen cuidado al descargar archivos de sitios web de su confianza pueden ser engañados debido a una nueva vulnerabilidad web: Consiste en la descarga de archivos maliciosos que no están realmente alojados en los sitios que aparentan. 

El ataque ha sido nombrado como reflected file download (RFD) y es algo similar en concepto a cross-site scripting (XSS), donde los usuarios son engañados para hacer clic en ligas que obligan a sus navegadores a ejecutar código malicioso contenido en los propios enlaces.

En el caso de la RFD, el navegador de la víctima no ejecuta ningún código, pero ofrece un archivo para su descarga con una extensión ejecutable como bat o cmd que contiene comandos de shell o archivos de script como JS (Java Scri-t), VBS (Visual Basic Script), WSH (Windows Script Host). El contenido del archivo pasa a través de la URL generada cuando el usuario hace clic en el enlace, haciendo que el navegador interprete esto como la descarga de un archivo. 

Una ventaja para ataques de ingeniería social ya que, a pesar de que el archivo no está alojado físicamente en el sitio, parece originarse del mismo. Los usuarios tendrían todavía que aprobar la descarga y ejecución del mismo por sí mismos, pero no sería difícil para el atacante convencer a los usuarios de hacerlo. 

Por ejemplo, un correo electrónico falso de un banco pidiendo a los usuarios descargar e instalar un nuevo producto de seguridad que protege sus sesiones de banca en línea podría ser muy convincente si el enlace de descarga hace volver al sitio web del banco; eso es exactamente lo que las vulnerabilidades RFD permiten. 

De acuerdo con el investigador de seguridad de Trustwave, Oren Hafif, quien descubrió el problema, un sitio web es vulnerable a este ataque si se cumplen tres condiciones. La gran mayoría de los sitios que usan JSON (JavaScript Object Notation) o JSONP (JSON with padding), dos tecnologías web muy populares, cumplen con esos criterios. Los sitios que no usan JSON también pueden ser vulnerables, dijo. 

Hafif ha ideado diversas variaciones del ataque y las presentó en una conferencia de seguridad de Black Hat en Europa. Encontró el defecto en algunos servicios de Google, en Bing de Microsoft y en muchos otros de los 100 sitios web principales de Alexa, pero se negó a nombrarlos, porque el proceso de notificación está aun en proceso. 

El investigador también encontró una manera de saltarse la advertencia que Windows muestra al intentar ejecutar un archivo ejecutable descargado de Internet, por lo que el ataque pude ser aún más poderoso. Los detalles de cómo se lograrón saltar ese tipo de validaciones ya se compartieron con el equipo de seguridad de Microsoft, el cuál está trabajando en una solución.

Los archivos generados a través RFD no tienen que ser complejos y pueden actuar como un malware de tipo dropper, ya que pueden aprovecharse de PowerShell de Windows (un entorno shell de línea de comandos y scripts instalado por defecto en Windows 7 y superiores) para descargar e instalar malware adicional desde un servidor remoto. En esencia, si un archivo de este tipo se ejecuta por el usuario, el atacante puede obtener el control total sobre el sistema, dijo el investigador.