sábado, diciembre 08, 2012

RoundCube II: Nuevos vectores para ataques XSS (2 de 2)

Tras ver cómo funcionan las URL de tipo "data:" y cómo pueden ser utilizadas en los navegadores, en esta parte toca poner en práctica todo lo visto en un entorno con RoundCube en el que no se hayan solucionado estos bugs. Vamos a ello.

La práctica

Supóngase que se remite a una potencial víctima que utiliza RoundCube un correo con un fichero adjunto.

Figura 3: El correo adjunto visto en RoundCube con un adjunto en formato html

El adjunto “OK.htm” contiene lo siguiente:
Elija su navegador para ver el video:<br>
Select your browser to watch the video:<br>
<br>
<a href='data:text/html,<script>alert(document.cookie)</script>'/>Firefox</a>
<br>
<a href='vbscript:alert(document.cookie)'>Internet Explorer</a>
El atacante debe conseguir que su víctima haga clic sobre el adjunto. Por ejemplo, como aparece en la imagen anterior, con la promesa de encontrar las instrucciones para ver un video. Al abrirlo aparecerá una nueva pantalla:

Figura 4: Visualización del fichero adjunto

Dependiendo del navegador utilizado, el usuario será invitado a hacer clic sobre el enlace que dispara el correspondiente XSS. En el caso actual se trata de Internet Explorer, con lo que haría clic sobre el segundo de ellos y se ejecuta el script.

Figura 5: Ejecución del script en Internet Explorer

En caso de usar Firefox, al hacer clic sobre el primer enlace se produce un resultado similar:

Figura 6: Ejecución del script en Mozilla Firefox

Reflexiones finales

Según los desarrolladores de RoundCube las vulnerabilidades ya han sido resueltas y es de esperar que no aparezcan en las próximas versiones del producto. En todo caso, es muy probable que otros programas de tipo webmail presenten problemas similares, y que en el futuro haya instalaciones de RoundCube sin actualizar, así que si eres un administrador de un webmail quizá quieras realizar alguna prueba…

Enrique Rando

************************************************************************************************
- RoundCube II: Nuevos vectores para ataques XSS (1 de 2)
- RoundCube II: Nuevos vectores para ataques XSS (2 de 2)
************************************************************************************************

Entradas populares