jueves, 28 de octubre de 2010

Un informático en el lado del mal - Un XSS en Tuenti que permitía hacer hijacking


Existía un fallo de Cross-Site Scripting (XSS) en la web de tuenti dentro del módulo de reto de juegos a través del chat con el que se podían realizar ataques de Hijacking para robarle la cookie de sesión, y por tanto la cuenta a los usuarios con que estuvieras chateando. Como nosotros somos tipos buenos, les avisamos y nos invitaron a tomar un bonito café en sus instalaciones para que se lo contasemos. Tras una rápida reunión, que esto es bastante sencillo de entender, lo arreglaron. Como ya está resuelto, os dejamos aquí la explicación del fallo que tenía.

XSS en Tuenti

Tuenti dispone de un sistema de juegos entre usuarios, los cuales pueden ‘retarse’ a través de un sistema de chat, como se ve en la siguiente captura donde un usuario reta a otro a jugar a ‘Poolstastic’.


Figura 1: Reto de juegos por chat

Para la explotación de esta vulnerabilidad utilizaremos el navegador Chrome, debido a que permite la modificación del código en runtime. Para ello debemos expandir el menú de juegos, seleccionar uno, en este ejemplo Poolstastic, y hacer botón derecho sobre el botón jugar, pulsando posteriormente sobre ‘Inspeccionar elemento’.


Figura 2: Inspeccionar elemento

Analizando el código, vemos que el botón ‘Jugar’ contiene un atributo llamado ‘gamename’ el cual almacena el nombre del juego al cual se quiere retar.


Figura 3: Nombre del juego en el elemento

Si existe la posibilidad de modificar el nombre del juego, nos permitirá realizar la inclusión de código javascript en el dominio de tuenti.com, pudiendo de este podo tomar el control total de la cuenta a atacar. Para probarlo modificaremos el atributo gamename inyectando el siguiente código:

[div style='top:0px;left:0px;height:100%;position:fixed;width:100%;'
onmouseover='alert(document.cookie);'[/div]”


Figura 4: Inyección de XSS en el atributo nombre

En cuanto el usuario atacado reciba el mensaje, se le ejecutará dicho código javascript, mostrando en este caso su cookie por pantalla.


Figura 5: Ejecución de código XSS sin interacción con el usuario

Esta prueba de concepto, que descubrió el gran Manu "The Sur", permitía tomar el control total de la cuenta. El resto era sencillo, inyectar un código que capture la cookie de sesión, la envíe a un servidor controlado, ponerte la cookie robada y acceder a la cuenta logeada del usuario. Un Hijacking clásico. Por suerte para todos, la gente de Tuenti, que se portó muy bien con nosotros, arregló ya este fallo.

Saludos Malignos!
Publicado en Un informático en el lado del Mal.
Suscríbete al canal RSS a través de Feedburner.
Más información de seguridad en otros blogs:
Seguridad Apple - Seguros con Forefront - Windows Técnico


Publicado por en No hay comentarios:

Un informático en el lado del mal - Noviembre 2010


Antes de que acabe el mes de Octubre, todavía quedan pediente mis charlas en México y la realización el jueves de ForoSI online de Segu-Info. Sin embargo, ya toca ir pensando en el calendario de actividades de Noviembre, así que aquí os pongo las cosas que tenemos por delante.

Semana 1

02 - Madrid: Análisis Forense: Malware
02 - Madrid: Análisis Forense: Red
03 - Madrid: C.E.U.S. VI [G]
03 - Madrid: Análisis Forense: Windows Logs
03 - UEM: Jornadas de Ciberamenazas y ciberdefensa [G]
04 - Madrid: Quest Tecno-Heroes [G] Con visita al Bernabeu
04 - UEM: Jornadas de Ciberamenazas y ciberdefensa [*] [G]
04 - Madrid: Análisis Forense: Prepara tu empresa
05 - Madrid: Análisis Forense: Memoria RAM

Semana 2

10 - Online: Análisis Forense correo electrónico Exchange
10 - Online: Exchange Server 2010 Service Pack 1
11 - Online: Hardening Exchange Server 2010

Semana 3

15 - Madrid: Seguridad de los menores en las redes sociales [G]
15 - Madrid: Sharepoint 2010: Arquitectura e implementación
16 - Madrid: Sharepoint 2010: Hardening
16 - Online: Learning FOCA & Get FOCA PRO 2.5.5 (Español) [*]
17 - Online: Learning FOCA & Get FOCA PRO 2.5.5 (inglés) [*]
17 - Madrid: Sharepoint 2010: Colaboración
17 - Madrid: Sharepoint 2010: Business Intelligence
18 - Madrid: Sharepoint 2010: Content Management
19 - Madrid: Sharepoint 2010: Workflow y procesos de negocio
19 - Móstoles: FTSAI 6: Web Security [*]

Semana 4

22 - Madrid: D-Link Academy: DL01 - Networking
23 - Madrid: D-Link Academy: DL05 - Videovigilancia IP
23 - Online: Enterprise Security con Forefront Tecnologies
23 - Online: Forefront Endpoint Protection 2010 (beta)
23 - Madrid: D-Link Academy: DL04 - Tecnología WiFi
24 - Online: Forefront Protection 2010 for Exchange
24 - Madrid: D-Link Academy: DL03 - Tecnología Switching
25 - Online: Forefront Protection 2010 for SharePoint
25 - Madrid: D-Link Academy: DL02 - Tecnología Firewalling

Semana 5

29 - Madrid: Windows Server 2008 R2: Implementing
29 - Madrid: Windows Server 2008 R2: Network Services
30 - Madrid: Windows Server 2008 R2: Active Directory
30 - Madrid: DISI 2010 [G]

Os he puesto [*] en las que voy a estar yo y [G] en las que son gratuitas.

Saludos Malignos!
Publicado en Un informático en el lado del Mal.
Suscríbete al canal RSS a través de Feedburner.
Más información de seguridad en otros blogs:
Seguridad Apple - Seguros con Forefront - Windows Técnico


Publicado por en No hay comentarios:

Un informático en el lado del mal - Version.bind: ¿All o TXT?


En el post dedicado a Version.bind, el proceso de acceder a la información de este registro se basa en una consulta a registros tipo TXT y parece que funciona correctamente, pero sin embargo, nuestro amgio @CyberSeQrity nos alertaba de que no le funcionaba bien con TXT y que iba mejor con tipo ALL.

Lo cierto es que el registro debería ser tipo TXT pero haciendo pruebas en múltiples servidores DNS se puede acceder a que las consultas tipo TXT están bloqueadas haciendo que no se pueda obtener, a priori ese valor. Sin embargo, basta con solicitar el registro con un consulta tipo All y se obtiene el valor del registro. En la siguiente captura se puede ver como al consultar por el registro version.bind en el servidor ns1.renfe.es se obtiene un bonito time-out.


Figura 1: Con queries TXT se obtiene un time-out

Sin embargo, con cambiar a la consulta a tipo ALL se obtiene el valor del registro.


Figura 2: Con una query tipo ALL se accede al valor

Sencillo, pero eficaz. Así suelen ser estas cosas.

Saludos Malignos!
Publicado en Un informático en el lado del Mal.
Suscríbete al canal RSS a través de Feedburner.
Más información de seguridad en otros blogs:
Seguridad Apple - Seguros con Forefront - Windows Técnico


Publicado por en No hay comentarios:

Un informático en el lado del mal - Enterprise Spoofing para captar mulas


En los tiempos de crisis que corren las ofertas para trabajar de muleros para las mafias se multiplican. Esto podría significar un incremento en el número de personas que están dispuestas a realizar este tipo de trabajos pero lo cierto es que el volumen de información de que disponen las personas ha aumentado mucho. El trabajo de mulero ya es muy conocido y las consecuencias también, por lo que debe estar costando conseguir a "nuevos empleados".

Debido a esta situación, es curioso este e-mail que se está enviando con una oferta de empleo a tiempo parcial. No es la primera vez que recibo una oferta de trabajo para el extranjero, así que la leí y rápidamente me di cuenta de que algo no encajaba. Sí, ya lo habéis visto, el mail es de geocities es bastante sospechoso.


Lo cierto es que el mail es aparente y además la empresa existe, con lo que el engaño es un poco más elaborado. En la mayoría de los ejemplos de muleros la empresa suele ser más falsa que un euro de madera, pero en este caso la empresa existe, y es cierto, se dedica a buscar gente que quiera trabajar a tiempo parcial.


Por el contrario, la dirección del email, acabada en .kg te lleva a un dominio más falso que judas que sólo sirve para dar cobertura a esta campaña de captación de muleros.


Lo siento, la cosa sigue mal.

Saludos Malignos!

Publicado en Un informático en el lado del Mal.
Suscríbete al canal RSS a través de Feedburner.
Más información de seguridad en otros blogs:
Seguridad Apple - Seguros con Forefront - Windows Técnico


Publicado por en No hay comentarios:

Un informático en el lado del mal - Asegúr@IT Camp 2 is over


Se acabó el Asegúr@IT Camp 2 y casi acaba conmigo. El viernes me castigué un poco con el "Tochuelo" y el sábado no me dejó mucho tiempo libre tras tener que comenzar como "traductor de libre traducción" en la primera charla de la mañana, dar una charla con la FOCA sobre 3G y otra sobre XSS Google persistentes baneados, además de ceder mi portátil a Niko.... pero me ha molado mucho, mucho.

El tener que estar tan ocupado con todo me dejó un poco desconcentrado y es por eso, y sólo por eso, que no gané el campeonato de futbolín internacional. Sin embargo, fue un detalle por parte de uno de los campeones el regalarme 3 litros de orujo de café casero (Manu... iloviu!!).

Además, la noche del sábado, con la llegada de Yago (SbD), la actuación estelar de Silverhack contando un chiste, engrandecido, en el restaurante, y las copas varias en las cabañas y discoteca, dejaron un "nightworking" (como dicen los Community Managers) muy salvaje.

En fin, que ha molado, y que nos vemos en el Asegúr@IT Camp 3!, pero yo ahora me voy a hacer un napworking que necesito reconstituyente en vena.

Saludos Malignos!

Publicado en Un informático en el lado del Mal.
Suscríbete al canal RSS a través de Feedburner.
Más información de seguridad en otros blogs:
Seguridad Apple - Seguros con Forefront - Windows Técnico


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)