Gmail:E-mail Hijack via CSRF

Electronics Adriatica snc
Gmail:E-mail Hijack via CSRF
Petko Petkov, security analyst del gruppo di "ethical hacking" GNUCitizen, ha sviluppato e descritto
un codice proof of concept in grado di rubare agli utenti del popolare
servizio di webmail Gmail la rubrica e i messaggi in arrivo.
Si tratta dell'ennesimo problema di sicurezza nei prodotti di Google svelato in pochi giorni, come segnalato in una news
precedente. Sembra tuttavia che Google stia già lavorando ad un fix per quest'ultimo problema, l'attacco infatti genera
attualmente un errore indefinito e non può più essere eseguito almeno così come concepito da Petkov.
Dall'articolo "Google GMail E-mail Hijack Technique" di Petkov: "Vi
mostrerò come qualcuno può installare una backdoor persistente
all'interno del vostro account Gmail e spiare tutte le vostre
conversazioni.".
Ribadisco, è qualcosa di persistente. È un
problema molto critico ed è molto improbabile che riusciate a rilevarlo
almeno che non siate 'uber user'. La vittima visita un pagina mentre è
loggato in Gmail. Durante l'esecuzione, la pagina esegue un
'multipart/form-data POST' ad una delle interfacce Gmail e inietta un
filtro di posta nella lista filtri della vittima
Nell'esempio di exploit proposto da Petkov, l'attacker
scrive un filtro che si occupa semplicemente di filtrare i messaggi di
posta con allegati eseguendone il forward verso un altro indirizzo di
posta a propria scelta.Tenete in mente che
tutte i messaggi futuri saranno inviati in forward allo stesso modo.
L'attacco resterà presente finché la vittima avrà questo filtro, anche
se la vulnerabilità iniziale, che è la causa della iniezione di codice,
viene corretta da Google". La tecnica utilizzata dal PoC di Petkov è conosciuta come "Cross-site request forgery", o
semplicemente CSRF.
Il
ricercatore afferma di non voler rilasciare i dettagli del
funzionamento del suo codice di attacco (e quindi di non eseguire una
pericolosa full-disclosure della vulnerabilità), tuttavia evidenzia che problemi del genere esistono in altri popolari servizi
web.
Petkov commenta: "
Petkov afferma: "Sì Yahoo è molto meglio in questo momento, in
particolare quando si tratta di 'hardcore Web2.0 API hacking'. Per
maggiori informazioni date un'occhiata a questo white paper". E conclude con una interessante notazione: "Se
trovate da soli questa vulnerabilità, vi prego di non svelarla
pubblicamente. Lasciate che Google la corregga prima, e poi bloggate
quanto volete. Inoltre, i browser in ambiente virtualizzato non vi
proteggeranno mai da questo tipo di attacchi. In un periodo in cui
tutti i dati sono in-the-cloud, non ha senso per gli attacker attaccare
la vostra macchina. È molto più semplice installare uno di questi
filtri persistenti backdoor/spyware".
Giorgio Maone, geek italiano, sviluppatore software per Informaction e autore di popolari estensioni per Firefox come
FlashGot e NoScript, commenta su Hackademix.net: "i dettagli rilasciati da Petkov sono più che sufficienti per realizzare
un PoC in 10 minuti, se il lettore conosce le basi del Cross Site Request Forgery (CSRF) … questo sicuramente
vale come una full disclosure pubblica 0day".
http://www.electronicsadriatica.it
Realizzata con Joomla!
Generata: 30 September, 2016, 04:26
Electronics Adriatica snc
Maone offre anche alcuni consigli, per sviluppatori web e utenti, per proteggersi da questo tipo di attacchi CSRF.
Agli sviluppatori web viene consigliato di utilizzare una tecnica di
anti-CSRF che prevede la generazione di identificatori random per ogni
web form del sito che deve servire ad utenti autenticati (eseguendo una
verifica di sicurezza dopo l'invio). Secondo Maone, gli utenti possono
invece scegliere se adottare il metodo decisamente "radicale" di
sfruttare diversi browser o profili per ogni sito web oppure utilizzare una soluzione come Firefox
+ NoScript, l'add-on di sicurezza realizzato dallo stesso Maone che
permette di proteggersi da questo e da altri tipi di attacco basato su
JavaScript, XSS, od anche contro le recenti popolari vulnerabilità dei
gestori URI. Consigliamo a tutti di leggere interamente l'intervento di Maone che offre numerosi dettagli sulle potenzialità
di NoScript.
Fonte:HardwareMax
http://www.electronicsadriatica.it
Realizzata con Joomla!
Generata: 30 September, 2016, 04:26