sabato 10 novembre 2012

Facebook chat può essere usata per lanciare attacchi Dos contro utenti


Il ricercatore di sicurezza Chris C. Russo sostiene di aver scoperto un modo per utilizzare il modulo chat di Facebook per lanciare attacchi denial-of-service (DoS) contro qualsiasi utente, anche se non è amico dell'attaccante.  Russo rivela che l'attacco è simile a quelli lanciati giornalmente via MSN messenger. Un gran numero di pacchetti vengono inviati al bersaglio, causando l'arresto anomalo dell'applicazione. 

"Il modulo chat, che in questo momento non posso utilizzare in quanto sembra che io sia stato bloccato dopo aver testato usando burp suit, non ha limite nel numero di caratteri di qualsiasi tipo che possono essere inviati. E' stato possibile disconnettere 3 utenti di test differenti (3 su 3) con l'invio di messaggi abbastanza grandi", ha spiegato il ricercatore.

"Uno di loro ha riferito che il suo tablet si è riavviato dopo il ricevimento, e non era più possibile aprire l'applicazione FB, dal momento che il registro delle chat sarebbe rimasto lì manderebbe  l'applicazione nuovamente in crash", ha aggiunto.  Secondo il ricercatore , questi attacchi DOS sono possibili a causa di un parametro in facebook.com/ajax/mercury/send_messages.php, specificatamente nel parametro message_batch.


Durante il test, Russo ha visto diversi pacchetti che causano un Internal Server Error 500 (Errore interno del server) come codice di risposta, mentre i suoi collaboratori si sono scollegati. Si tratta di un errore generico generato dal server Web a causa d'una condizione imprevista. Il ricercatore ha rivelato che questi attacchi possono essere mitigati attraverso l'analisi della lunghezza del parametro buggy prima di inviare le informazioni all'utente.

"Personalmente credo che ci deve essere qualcosa di sbagliato anche con i token XSRF, perché mi avrebbe permesso di inviare pacchetti diversi che utilizzano lo stesso token che inizialmente ho estratto, ma non ho potuto estrarre queste informazioni a causa del meccanismo ban di prevenzione", ha scritto Russo nel seclist.org’s Full Disclosure.

Il pacchetto esatto che deve essere inviato per causare la condizione di DOS che è stata resa pubblica. L'esperto sostiene che la vulnerabilità è stata resa disponibile perché in passato, a Facebook ci sono volute 6 settimane per rispondere alle sue notifiche soltanto per dirgli che "non vi era alcun difetto per tutti". Forse è per questo che il ricercatore avrebbe deciso di rendere pubblico qualsiasi difetto su Facebook d'ora in poi.


È possibile integrare la chat di Facebook nei prodotti di messaggistica istantanea Web-based, desktop o portatili. Il client di messaggistica istantanea si connette a Facebook Chat attraverso il servizio Jabber/XMPP. Com si legge su Facebook Developers, la chat di Facebook dovrebbe essere compatibile con tutti i client XMPP, ma non è un server completo XMPP. Facebook chat bisogna  considerarla come un proxy su www.facebook.com

Di conseguenza, il client ha comportamenti diversi che differiscono leggermente da quello che ci si aspetta da un servizio tradizionale XMPP: il client ad esempio non può inviare o ricevere messaggi HTML; poiché gli elementi roster e le presence subscriptions si basano su gli amici di Facebook dell'utente, non possono essere creati o eliminati utilizzando i meccanismi standard XMPP.

Facebook Chat è laconica per l'invio di aggiornamenti ai nuovi amici, perché la negoziazione avviene al di fuori di XMPP. Le versioni future di chat di Facebook possono essere più conformi. Lo Jabber ID (JID) dell'utente è diverso dal ID Jabber che i suoi contatti vedranno perché la traduzione è fatta internamente. Stanzas IQ arbitrarie non possono essere passate tra i client.

Maggiori informazioni sulla vulnerabilità http://lists.grok.org.uk/full-disclosure-charter.html. Il documento pubblicato serve come carta per la mailing list della scoperta ospitata su lists.grok.org.uk. L'elenco è stato creato il 9 luglio 2002 da Len Rose, e si occupa principalmente di discussioni su questioni di sicurezza. La lista è amministrata da John Cartwright. La lista full-Disclosure è ospitata e sponsorizzata da Secunia, la società di sicurezza internazionale specializzata nella gestione delle vulnerabilità con base a Copenhagen.

2 commenti: