Nem rég indult egy új webes e-mail szolgáltatás StrongWebmail néven, amely kétlépcsős autentikációval és korai figyelmeztetésekkel igyekszik garantálni felhasználó biztonságát. A vállalkozás 10.000$-t ajánlott fel annak, aki képes az ügyvezető igazgató (szintén a rnedszerben regisztrált) e-mail fiókját feltörni, pontosabban a fiókhoz tartozó naptárba egy találkozó időpontot felvenni.
Ehhez ráadásul az igazgató felhasználóneve és jelszava is rendelkezésre állt, a problémát (legalábbis a készítők szándékai szerint) egy SMS-ben kiküldött, egyszer használatos PIN kód megszerzése jelentette volna.
Aviv Raff, Lance James és Mike Bailey azonban kicsit más irányból közelítették meg a problémát, és kamu bázisállomások építése, vagy a GSM szolgáltató rendszerének komprommitálása helyett egyszerűen egy speciálisan "megfogalmazott", XSS sebezhetőséget kihasználó levelet küldtek a CEO-nak. Az igazgató nyilatkozata szerint a bejegyzés a levél megnyitása után létre is jött, tehát a kutatók elvileg jogosultak a díjra, bár hivatalos állásfoglalás ezzel kapcsolatban a cég részéről egyelőre nem érkezett.
XSS sebezhetőségekkel tele van a web, az ilyen problémák annyira gyakoriak, hogy őszintén szólva már én sem szívesen fogalalkozom velük. Ez az eset ugyanakkor jól példázza, hogy egy támadás erejét sokszor nem a kihasznált biztonsági hiba minősége, hanem sokkal inkább a támadó által kellő gonddal összeállított körítés határozza meg.
|Z| 2009.06.05. 09:23:58
buherator · http://buhera.blog.hu 2009.06.05. 10:03:01
|Z| 2009.06.07. 09:46:34
Kezdjük előlről :)
A hackerek megszerezték a naptárbejegyzés részleteit (és nem naptárbejegyzést kellett létrehozni, mint azt sok helyen tévesen közölték), ezért igen, XSS is volt.
Célponttól különböző oldal = outlookban megnyitott html alapú email. És ha lett volna alapvető CSRF elleni védelem a webmailben (pl. GET paramétereket nem olvas az alkalmazás vagy minden belső link tartalmaz egy plusz véletlen változót, majd ezt ellenőrzi minden híváskor vagy minden akciót még1* jóváhagyat a felhasználóval), akkor nem működött volna a támadás sem. Szerintem abban is egyetértünk, hogy XSS és CSRF között a határ néha elmosódik, definíciótól függetlenül :)
A Strongwebmail meg elmehet a sunyiba, hogy nem akar fizetni, csak azért mert máshogy tolták meg a rendszerüket, mint várták :)
buherator · http://buhera.blog.hu 2009.06.07. 16:15:05
Akkor kérlek oszd meg a forrásaidat, mert én Outlookról sehol nem olvastam - amennyiben tényleg Outlookból nézte az üzenetet a CEO, nyilván nálad a pont. A ZDNet-en használt "record" kifejezés pedig engem is megtévesztett, de igazad van, az eredeti kiírásban megszerzésről és nem létrehozásról írnak.
|Z| 2009.06.07. 17:17:20
buherator · http://buhera.blog.hu 2009.06.07. 17:35:12
Nyilván egy csomó dolog befolyásolja egy ilyen támadás kivitelezhetőségét, de onnantól kezdve, hogy az adott domainen szkriptelhetsz, már nem sokat érsz az anti-CSRF technikákkal: lenyúlod a sütit és legegyszerűbb esetben kézzel meg tudsz csinálni bármit. Sőt, mivel ugyanazon a domainen futsz, amihez hozzá akarsz férni, a same-origin policy sem akadályoz.
|Z| 2009.06.07. 22:09:06