mercoledì 2 novembre 2011

Ricercatore trova vulnerabilità negli allegati dei messaggi Facebook


Un tester di penetrazione sulla sicurezza ha scoperto una importante falla in Facebook che potrebbe consentire ad una persona qualunque di mandare file dannosi direttamente nella posta del social network. Il problema riguarda una funzione di Facebook che consente agli utenti di inviare un messaggio e un allegato ad un altro utente che non è loro amico. Facebook vieta l'invio di file eseguibili, ma un penetration tester di sicurezza ha trovato un modo per aggirare il filtro. Nathan Power, che lavora come consulente tecnologico per la CDW, ha scritto sul suo blog che Facebook analizza parte di una richiesta POST al server per verificare se il file inviato può essere consentito. Se è collegato un eseguibile, Facebook avverte che non può essere inviato.

Ma modificando la richiesta POST - in particolare con uno spazio extra dopo il nome del file che deve essere inviato - un eseguibile potrebbe essere allegato. Si tratta d'un potenziale pericolo perché potrebbe consentire a un hacker di inviare, per esempio, un malware o un programma di keylogging ad un altro utente in una sorta di allegato spear-phishing. La vittima dovrebbe quindi essere convinta ad aprire ed eseguire il file.

In particolare, quando si utilizza la scheda 'Messaggi' di Facebook, c'è una funzione per allegare un file. Utilizzando questa funzione normalmente, il sito non consente all'utente di allegare un file eseguibile. Un bug è in grado sovvertire questo meccanismo di sicurezza. NON c'è bisogno di essere amici con l'utente per inviargli un messaggio. Quando si allega un file eseguibile, Facebook restituisce un messaggio di errore: "Errore Caricamento: non è possibile allegare file di questo tipo."


Durante il caricamento di un file allegato a Facebook, il ricercatore ha catturato la richiesta web browser POST che viene inviata al server web. All'interno di questa richiesta POST si legge la riga: Content-Disposition: form-data; name="attachment"; filename="cmd.exe". E 'stato scoperto che la variabile 'filename' viene analizzata per determinare se il tipo di file sia consentito o meno. Per sovvertire i meccanismi di sicurezza per consentire un tipo di file con estensione exe, Power ha modificato la richiesta POST aggiungendo uno spazio alla sua variabile nome del file in questo modo: filename="cmd.exe ".


Questo è stato sufficiente per ingannare il parser e permettere al file eseguibile allegato di essere inviato in un messaggio. Un problema, questo, segnalato allo staff di Facebook già da diverse settimane e solamente adesso arrivato agli addetti della sicurezza sul social network. Come scrive Jeremy-Kirk su Pc World, in un comunicato il manager Ryan McGeehan di Facebook Security ha detto che un attacco perchè possa riuscire richiederebbe "un ulteriore livello di ingegneria sociale".

Inoltre consentirebbe all'attaccante di inviare un solo file rinominato offuscato ad un altro utente di Facebook, uno alla volta. Facebook non si basa solo sulla identificazione di un file per proteggere gli utenti, ma fa anche una scansione di sicurezza dei file, "così abbiamo una difesa in profondità per questo tipo di vettore", ha scritto McGeehan. Ha anche detto che i fornitori di servizi webmail affrontano lo stesso problema con allegati dannosi e che "questo risultato è una parte molto piccola per la protezione contro questa minaccia globale".

"Alla fine della giornata, è più pratico per un cattivo ragazzo nascondere un file .Exe in una pagina di destinazione convincente dietro ad un URL shortener, che è qualcosa con cui abbiamo avuto a che fare per un po'", ha scritto McGeehan. Power ha scritto di aver notificato la questione a Facebook il 30 settembre 2011 e la società ha riconosciuto ufficialmente il problema Mercoledì 26 ottobre scorso. Non tutti i file eseguibili  sono riconosciuti come malware dagli antivirus, anche perchè un file .exe può essere un semplice vettore di attacco. Ci auguriamo che Facebook, nonostante si tratti di un proof of concept finora mai realizzato nella pratica, ponga un rimedio definitivo a questa vulnerabilità.

Nessun commento:

Posta un commento