Vulnerabilidad, se puede eludir la prohibición de envío de ejecutables a través de Facebook Mail

El investigador de seguridad Nathan Power he descubierto un fallo en la subida de ficheros de Facebook que podría permitir el envío de cualquier tipo de fichero a través de los mensajes de la red social. Facebook, a través de su servicio de mensajes entre sus usuarios, permite el envío de archivos adjuntos. Como es lógico, en ningún caso se permite que se intercambie un archivo ejecutable, por tanto la plataforma realiza ciertas comprobaciones sobre el fichero enviado para evitar que se trate de un binario.

Según ha confirmado el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensión del nombre del fichero indicado. Este dato es enviado dentro de la petición POST en
la que se manda el archivo, (concretamente en el atributo filename del multipart/form-data). Al tratarse de una variable bajo el control del cliente, es fácilmente modificable teniendo acceso al tráfico HTTP justo antes de enviar con cualquier programa, o generando una petición personalizada. Tras varios intentos, el Nathan Power finalmente consiguió evadir el filtro de Facebook, y por tanto enviar el ejecutable, simplemente añadiendo un espacio al final del nombre del fichero. De este comportamiento se extraen varias conclusiones:

* El módulo, función o software encargado de tratar el nombre del fichero, no realiza un tratamiento adecuado del nombre del fichero. En este caso en concreto, eliminar los espacios al final del nombre del archivo.

* Para discernir entre un archivo permitido o no, se comprueba la extensión del archivo, y se recurre a una lista negra de extensiones (exe, bat...), en lugar de una lista blanca.

* No se realiza comprobación alguna del tipo del contenido real del archivo (por ejemplo los dos primeros bytes).

* Se comenten errores básicos y antiguos, que ya han solucionado desde hace tiempo otras aplicaciones que han tenido que lidiar mucho con los adjuntos: los clientes de correo.

Facebook fue avisado el día 30 de septiembre, pero no respondió hasta pasado casi un mes. En el momento de escribir esta noticia, todavía se podían enviar ejecutables y, como hemos comprobado, al descargar el
archivo el espacio final del fichero desaparece (quizás sea ya demasiado tarde).

En el siguiente video colgado en YouTube se puede comprobrar como se puede enviar un adjuntto llamado "cmd.exe" en un mensaje a través de Facebook, cmd es un comando reconocido porel sistema ioerativo, (cmd significa Windows Command Prompt) y es un proceso genérico de Windows NT/2000/XP que abre una consola de modo texto, es decir te deja con "culo en pompa".

Fuente: Facebook Attach EXE Vulnerability


FRomero,
webmaster Smandaluz.Com

Comentarios

Enviar un comentario nuevo

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.
  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Use [# ...] to insert automatically numbered footnotes. Textile variant.
  • Puede insertar vídeos usando la marca [video:URL]

Más información sobre opciones de formato

CAPTCHA
Esta pregunta se hace para comprobar que es usted una persona real e impedir el envío automatizado de mensajes basura. SI se diferencían mayúsculas de mínúsculas por tanto la respuesta SI tiene que coincidir exactamente con la solución.
CAPTCHA de imagen
Escriba los carácteres que muestra la imagen. Ignore los espacios. SI se distinguen mayúsculas de minúsculas.