Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/02/2014
ReDirecció d'URL en Facebook oberta des d'octubre de 2011
Fa uns quants mesos més, precisament a l’octubre de 2011, es va reportar una fallada a Facebook que, a hores d'ara, seguix sense solució.
Esta vulnerabilitat permet redirigir un apunt a qualsevol adreça web, de manera que es poden comprometre els usuaris. D’esta manera, un atacant podria usar Facebook com a excusa per a cridar l’atenció d’usuaris desprevinguts i comprometre'n la informació; esta metodologia es coneix com a tècniques d’Enginyeria Social. En esta ocasió els mostrarem com un cibercriminal podria aprofitar-se d’estos forats de seguretat i, també, els detallarem els passos que han de tindre en compte per a no caure en estes trampes.
La fallada consistix en el fet que un usuari a l’hora de compartir contingut des del seu mur, pot manipular alguns paràmetres abans de compartir l’article en el mur. Una vegada modificat estos paràmetres, pot publicar l'apunt modificat, que permetrà a l’atacant usar la vista prèvia generada automàticament per Facebook, per a enviar a la víctima a un lloc amb codi maliciós i així prendre control de l’equip víctima.
Ací veurem un exemple gràfic de com es veuria un apunt en el mur, amb la redirecció d’URL modificada.
Com s’aprecia en el punt 1 la publicació sembla la vista prèvia d’un vídeo original de You Tube, però si situem el cursor sobre l’enllaç es pot veure en el punt 2 cap a on ens dirigiria eixa URL, en este cas a l'amfitrió 192.168.x.x:xxxx. Suposant que l’usuari no haja prestat atenció a la informació del punt 2 i hi haja fet clic, podria trobar-se amb quelcom com en esta imatge.
En este punt cal destacar dos coses: la primera és que la prova de concepte va ser realitzada en un laboratori virtual controlat amb fins educatius per a demostrar l’abast d’un possible atac; i la segona és que en esta instància s’està intentant executar una aplicació a Java, la qual està avisant que cal actualitzar el complement, ja que la vulnerabilitat aprofitada és en una versió desactualitzada de Java a propòsit.
També es pot observar que en la barra de direcció es veu completament l’enllaç del lloc maliciós on es va fer la redirecció; cal destacar que en un entorn real potser no seria tan simple veure l'adreça de l’atacant com es pot veure en este exemple. Llavors, què passaria si la víctima no es pren el treball de mirar tota esta informació i fa clic en l’opció Executar esta vegada? Se li podria estar donant control total de l’equip a l’atacant.
Suposant que l’usuari haja triat l’opció Executar esta vegada, podria estar veient quelcom així. I per l’altra banda, l’atacant estaria veient açò.
El que l’atacant està veient és el seu sistema operatiu Linux, amb una eina anomenada Metasploit, la qual és un entorn de treball per a exploits, en este cas s’aprofita amb èxit una fallada a Java, donant-li un intèrpret d'ordes (shell) remot, cosa que significa que la víctima dóna el control del seu equip a l’atacant. En prendre el control, el ciberdelinqüent pot fer qualsevol cosa, però per a entendre-ho millor adjuntarem algunes captures de pantalla a mode il·lustratiu de l’abast d’este atac.
Una de les coses que l’atacant podria fer és espiar en reproducció en temps real per la càmera web, com es mostra en la captura realitzada a manera d’exemple. Així mateix, com es pot apreciar en la captura que es mostra a continuació, podrien obtindre’s fins i tot les funcions resum (hash) d’usuaris de l’equip.
Si bé un ciberdelinqüent podria fer tot açò si obté el control d’un equip, per a arribar fins a esta instància de l’atac es va haver de passar per alt molta informació. En este sentit és fonamental que comencem a tindre en compte estes qüestions, especialment la vista prèvia de l’enllaç en la part inferior esquerra del navegador i els missatges que avisen sobre les actualitzacions. Sempre és important tindre tots els sistemes en la seua última versió ja que, no sols poden contindre millores en les seues funcionalitats, sinó també pedaços de seguretat davant de vulnerabilitats.
Llegiu la resta de la notícia ací.