Grave bug di sicurezza permetteva accesso a qualsiasi profilo di Facebook

Uno sviluppatore Web ha scoperto una grave falla di sicurezza su Facebook che avrebbe permesso ad un attaccante di accedere a qualsiasi parte del profilo di uno sconosciuto tramite le autorizzazioni applicazioni. Anche se Facebook ha risolto questo problema, Nir Goldshlager, specialista di sicurezza delle applicazioni che cerca questo tipo di difetti professionalmente, ha trovato più bug nell'autorizzazione app che avrebbero bisogno di essere fissate, secondo il suo blog. 

Le autorizzazioni app sono ciò che gli sviluppatori utilizzano per accedere ai dati utente necessari per eseguire le loro applicazioni. Gli utenti forniscono agli sviluppatori l'autorizzazione di accesso quando si installano le loro applicazioni. Nir Goldshlager ha trovato un paio difetti nel servizio OAuth di Facebook e ha descritto le sue scoperte sul suo blog. Lo sviluppatore ha notificato al social network la questione ed ha atteso prima di rendere pubblica la sua scoperta.

Facebook non ha voluto commentare sugli altri difetti che Goldshlager potrebbe aver trovato, ma ha detto che il bug originale rilevato non è stato sfruttato realmente dagli sviluppatori di applicazioni su Facebook. "Ci complimentiamo con il ricercatore di sicurezza che ha portato questo problema alla nostra attenzione e per averlo segnalato al responsabile del nostro bug White Hat Program", ha scritto un rappresentante di Facebook a CNET via email.

"Abbiamo lavorato con il team per comprendere la portata della vulnerabilità, che ci ha permesso di risolvere il problema senza la prova che questo bug sia stato sfruttato in natura. In seguito alla segnalazione del problema su Facebook, non abbiamo alcuna prova che gli utenti siano stati influenzati da questo bug. Abbiamo fornito un premio al ricercatore per ringraziarlo di aver contributo alla sicurezza di Facebook", ha concluso il rappresentate del social network.

L'azienda non ha precisato quando Goldshlager ha segnalato il difetto. Goldschlager ha trovato un bug trovato che gli ha permesso di rubare il token di accesso e ottenere l'accesso completo a un profilo come sviluppatore. Ciò ha incluso i messaggi, gestione delle pagine, foto private e video. Mentre la maggior parte delle applicazioni su Facebook sono applicazioni di terze parti che gli utenti devono approvare manualmente, ci sono alcune applicazioni integrate che sono pre-approvate. 

Una di queste applicazioni è Facebook Messenger, il cui token di accesso non ha scadenza a meno che l'utente cambia la sua password e dispone di autorizzazioni estese per accedere ai dati dell'account. Facebook Messenger è in grado di leggere, inviare, caricare e gestire i messaggi, notifiche, foto, e-mail, video, e altro ancora. La vulnerabilità manipola l'URL trovato su m.facebook.com e touch.facebook.com, permettendo di rubare il token di accesso di un utente.

L'Url di attacco avrebbe potuto essere accorciato con uno dei tanti servizi URL Shortener e inviato agli utenti mascherato da un link a qualcosa d'altro. L'attacco avrebbe anche lavorato sugli account Facebook con autenticazione a due fattori attivata. Con il token di accesso e l'ID utente di Facebook, un utente malintenzionato è in grado di estrarre informazioni dall'account utilizzando il Graph API Explorer, uno strumento per sviluppatori disponibile sul sito di Facebook.

Non è la prima volta che un ricercatore di sicurezza trova una grave falla nel social network creato da Mark Zuckerberg. A luglio del 2011, Reda Cherqaoui, 22 anni, esperto di sicurezza informatica, aveva trovato un bug che permetteva di accedere ai dati degli utenti di Facebook, senza bisogno di scoprirne nome utente e password. Il consiglio in questo caso è quello di essere cauti nell'installare applicazioni e leggere sempre le autorizzazioni che vengono richieste dallo sviluppatore. Potete controllare l'elenco delle app installate sul vostro profilo a questo link.

Twitter sotto sofisticato attacco informatico, compromessi 250.000 account

A seguito di una serie di rivelazioni da più aziende che hanno annunciato di essere state recentemente violate, Twitter ha detto di essere stato anche oggetto di un sofisticato attacco.  Twitter ha annunciato di essere stato vittima di un attacco informatico che nelle ultime ore ha messo a rischio la sicurezza dei dati di almeno 250.000 utenti. L'azienda statunitense che gestisce l'omonimo sito di microblogging ha dichiarato di aver subito un "attacco sofisticato" che potrebbe aver compromesso la sicurezza di indirizzi e-mail e password. Twitter ha cercato di tranquillizzare gli utenti ed ha postato sul suo blog un avviso sulle pratiche da seguire.

Account LinkedIn a rischio, scoperto grave bug nella gestione cookie

Il sito di networking professionale LinkedIn ha delle falle di sicurezza che rende gli account degli utenti vulnerabili agli attacchi di hacker, i quali potrebbero accedervi senza nemmeno aver bisogno di password, secondo un ricercatore di sicurezza che ha identificato il problema. LinkedIn, fondato nel dicembre 2002 e avviato nel maggio 2003, è utilizzato principalmente per networking professionale.

A marzo 2011, LinkedIn relaziona più di 100 milioni di utenti registrati, che coprono più di 200 paesi e territori in tutto il mondo. La notizia della vulnerabilità è emersa durante il fine settimana, solo pochi giorni dopo LinkedIn Corp è andato in offerta pubblica la scorsa settimana con il debutto commerciale che ha visto il valore delle sue azioni più del doppio, che evoca i ricordi del boom di investimenti dot.com della fine degli anni 1990. 

Rishi Narang - un ricercatore indipendente di sicurezza Internet con sede vicino a New Delhi, in India, che ha scoperto la falla di sicurezza - ha detto a Reuters Domenica che il problema è legato al modo in cui LinkedIn gestisce un tipo di file dati comunemente usato e conosciuti come cookie, che includono il JSESSIONID e il LEO_AUTH_TOKEN. 

Dopo che un utente inserisce il nome utente corretto e la password per accedere a un account, il sistema di LinkedIn crea i cookie sul computer dell'utente che servono come chiave per accedere all'account. Molti siti web utilizzano tale cookie, tra i quali Facebook, ma ciò che rende il cookie LinkedIn insolito è che non scade per un anno intero dalla data della sua creazione, ha detto Narang. Il dettaglio della vulnerabilità è descritto in un post sul suo blog di Sabato.

I cookie token di accesso della maggior parte dei siti web commerciali in genere scadono nel giro di 24 ore, o anche prima se un utente effettua il logout dal sito, ha detto Narang. Ci sono alcune eccezioni: i siti bancari spesso disconnettono gli utenti dopo 5 o 10 minuti di inattività. Google offre ai suoi utenti la possibilità di usare i cookies che li tengono connessi per diverse settimane, ma consente all'utente di deciderlo prima. La lunga durata del cookie LinkedIn significa che chiunque si impossessa del file può caricarlo su un PC e accedere facilmente all'account originale dell'utente per almeno un anno.

La società ha rilasciato una dichiarazione dicendo che essa sta già effettuando la procedura per garantire gli account dei suoi clienti. "LinkedIn prende la privacy e la sicurezza dei nostri iscritti seriamente", dice la nota. "Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere reti WiFi o reti VPN (reti private virtuali) criptate o di fiduicia, quando possibile". La società ha detto che attualmente supporta SSL, o Secure Sockets Layer, tecnologia per la crittografia di alcuni dati "sensibili", tra cui gli accessi agli account. Ma quei token cookie di accesso non sono ancora codificati con SSL.

Ciò rende possibile per gli hacker rubare i cookie utilizzando strumenti ampiamente disponibili per sniffare il traffico Internet, ha continuato Narang. Se si è in una rete di casa o aziendale e qualcuno raccoglie i cookie di traffico o usa Firesheep il gico è fatto. E, anche se si cambia la password e tutte le impostazioni, ancora il vecchio cookie è valido e dunque concede all'attaccante un accesso al vostro account. LinkedIn ha detto nella sua dichiarazione che si sta preparando ad offrire opt-in il supporto SSL per le altre parti del sito, una opzione che avrebbe coperto la crittografia dei cookie. 

L'azienda ha detto che si aspetta sarà disponibile "nei prossimi mesi". Ma i funzionari LinkedIn hanno rifiutato di rispondere alla critica di Narang sull'uso della società di un cookie con scadenza di un anno. Narang ha detto che il problema è particolarmente grave perché gli utenti di LinkedIn gli utenti non sono consapevoli del problema e non hanno idea che essi debbano proteggere tali cookie. Il ricercatore aa affermato, inoltre, di aver trovato quattro cookie con token di accesso LinkedIn validi che erano stati caricato su un forum per gli sviluppatori LinkedIn dagli utenti che avevano postato delle domande circa il loro uso. Narang ha scaricato quei cookie e ha potuto accedere agli account dei quattro abbonati LinkedIn.

Grave bug Facebook, Symantec invita gli utenti a cambiar password

Le informazioni personali degli utenti di Facebook potrebbero essere state rivelate accidentalmente a soggetti terzi, in particolare inserzionisti, negli ultimi anni. Lo sostiene la società specializzata in sicurezza informatica Symantec sul proprio blog ufficiale. Altri soggetti avrebbero avuto accessi a informazioni personali come profili, fotografie e chat, e potrebbero aver avuto la capacità di postare messaggi. La società ha segnalato questo problema a Facebook, che ha adottato le misure correttive per contribuire ad eliminare questo problema.

Le applicazioni di Facebook sono le applicazioni Web integrate sulla piattaforma Facebook. Secondo Facebook, 20 milioni di applicazioni vengono installate tutti i giorni. Le applicazioni su Facebook sono di due tipologie: FBML o iFRAME. Proprio una caratteristica dell’iframe avrebbe consentito di recuperare il token univoco dell’utente, un metodo alternativo alla password, esponendo qualunque dato alle applicazioni attive. Si stima che oltre 100.000 di queste hanno usufruito per anni di questo bug per tracciare gli utenti del social network. Si stima che nel corso degli anni, centinaia di migliaia di applicazioni possono avere inavvertitamente trapelato milioni di token di accesso a terzi. Le applicazioni possono utilizzare questi gettoni o le chiavi per eseguire determinate azioni per conto dell'utente o accedere al profilo dell'utente. Ogni token o 'chiave di riserva' è associato a un gruppo selezionato di autorizzazioni, come leggere la vostra bacheca, l'accesso al profilo del vostro amico, il vostro intervento sulle bacheche, ecc.

Durante il processo di installazione dell'applicazione, l'applicazione richiede all'utente di concedere le autorizzazioni per queste azioni. Su concessione di tali autorizzazioni, l'applicazione ottiene un token di accesso, come mostrato nella figura di seguito.

Usando questo token di accesso, l'applicazione può ora accedere alle informazioni dell'utente o eseguire operazioni per conto dell'utente. https://graph.Facebook.com/me/accounts access_toke...?. Per impostazione predefinita, la magior aprte dei token di accesso scadono dopo poco tempo, tuttavia l'applicazione può richiedere token di accesso offline che permettono loro di utilizzare questi token finché non si cambia la password, anche quando non si è loggati. Per impostazione predefinita, Facebook utilizza ora OAUTH2.0 per l'autenticazione. Tuttavia, i sistemi di autenticazione più anziani sono ancora supportati e viene utilizzato da centinaia di migliaia di applicazioni. Quando un utente visita apps.Facebook.com/AppName, Facebook invia prima la domanda di una quantità limitata di informazioni non identificabili sull'utente, come il proprio paese, località e fascia di età. Utilizzando queste informazioni, l'applicazione può personalizzare la pagina. La domanda deve quindi reindirizzare l'utente a una pagina di dialogo di autorizzazione, come si vede nella foto seguente.

L'applicazione utilizza un reindirizzamento sul lato client per reindirizzare l'utente alla familiare finestra di dialogo dell'autorizzazione richiesta. Questa perdita indiretta potrebbe accadere se l'applicazione utilizza un lascito di Facebook API e ha i seguenti cattivi parametri "return_session = 1" e "session_version = 3", come parte del loro codice di reindirizzamento, come si vede nella figura di seguito.

Se questi parametri vengono utilizzati, Facebook restiuisce successivamente il token di accesso, inviando una richiesta HTTP che contiene il token di accesso del URL per l'host dell'applicazione. L'applicazione Facebook è ora in grado potenzialmente di perdere inavvertitamente il token di accesso a terze parti e, purtroppo, molto spesso per caso. In particolare, questo URL, compreso il token di accesso, viene passato agli inserzionisti di terze parti come parte del campo referrer delle richieste HTTP. Ad esempio, se la prima pagina di questa applicazione ha richiesto risorse da un URL esterno utilizzando un tag iframe da un inserzionista, il token di accesso quindi verrà trapelato nel campo referrer. Questo è illustrato nella figura sotto.

Facebook ha confermato le perdite ed ha comunicato la modifica per evitare che questi gettoni di ottenere trapelato. Non vi è alcun buon modo per stimare i token di accesso già trapelati in quanto le domande di rilascio Facebook risalgono già nel 2007. Nishant Doshi e Wueest Candid di Symantec sono accreditati per la scoperta di questo problema. Symantec teme che molti di questi gettoni potrebbero essere ancora disponibili nei file di log dei server di terze parti o ancora attivamente utilizzati dai pubblicitari. Gli utenti di Facebook preoccupati possono cambiare le password Facebook per invalidare token di accesso trapelato. Cambiare la password invalida questi token ed è equivalente a "cambiare il blocco" sul vostro profilo Facebook. Facebook ha risposto, aggiornando la Developer roadmap per l’adozione di strumenti più sicuri.

Microsoft Windows con problemi di “token kidnapping”

Il ricercatore di sicurezza Cesar Cerrudo spiega come effettuare la scalata dei privilegi su una macchina Windows fino al controllo totale del sistema. Ancora problemi, dunque, di “token kidnapping“, a distanza di più di un anno dal rilascio di una patch che sembrava aver risolto il problema.

È questo lo scenario che si va profilando per Microsoft e per le varie versioni dei suoi sistemi operativi, inclusi i più recenti Windows 2008 R2 e Windows 7. Pare infatti che il ricercatore di sicurezza Cesar Cerrudo al prossimo convegno Black Hat di Las Vegas (28-29 luglio) terrà un talk intitolato “Token Kidnapping’s Revenge“. Fu lo stesso Cerrudo, fondatore e CEO di Argeniss, società argentina di sicurezza, a individuare il bug nel 2008 e a segnalarlo a Microsoft, che si preoccupò di fixare il problema un bel po’ di tempo dopo.

Sembra che i nuovi vettori di attacco individuati dal ricercatore argentino ancora una volta consentano di effettuare “priviledge escalation” fino a ottenere i permessi dell’account Local System. La presentazione, dalla descrizione presente sul sito del Black Hat, si prospetta in gran parte “pratica”. Verranno infatti mostrati le tecniche e i tool usati per individuare le falle. La cosa è confermata dallo stesso Cerrudo in un’intervista su ThreatPost. Da notare che il talk verrà riproposto qualche giorno più tardi in occasione dell’edizione 18 del Defcon sempre a Las Vegas.

"Microsoft è a conoscenza di questi temi e di altri riguardo la questione dei privilegi più elevati che può essere sfruttata da qualsiasi utente, ma non sarà in grado di parlarne prima delle correzioni che rilascerà in agosto", ha spiegato Cerrudo. Il ricercatore ha inoltre mostrato due exploit (chiamato Chimichurri e Churraskito) per IIS e SQL Server. Questi exploit potrebbero funzionare su altri servizi anche con qualche piccola modifica.

Via: http://www.oneitsecurity.it/
Tags: Token Kidnapping, Windows, Vulnerabilità, Zero-Day