domingo, noviembre 27, 2016

Un Ataque David Hasselhoff a Microsoft.com...con Faast

En el reporte de agradecimiento de Microsoft, a diferencia del de Apple donde se hace un reconocimiento por cada bug, se aglutinan varios bugs en un agradecimiento genérico al "finder" independientemente del número de bugs que se hayan reportado. En el caso del agradecimiento de estos meses de Septiembre y Octubre, nosotros reportamos varios bugs en diferentes expedientes de investigación. 

Figura 1: Un Ataque David Hasselhoff a Microsoft.com con Faast

Esta semana os he hablado del bug de Open Proxy en Microsoft.com, pero también hubo varios reportes más comunes de inyecciones de código en webs del dominio de la compañía. Entre ellas varios XSS (Cross-Site Scripting) descubiertos por nuestro motor de pentesting persistente Faast.

Figura 2: Reconocimiento a los finders de Septiembre y Octubre en Microsoft.com

Al final, con una infraestructura expuesta a Internet tan grande como la que tiene una empresa como Microsoft, la posibilidad de que algún código en algún rincón de todo el dominio se vea afectado por un bug es muy alta.

Figura 3: XSS Reflejado por GET en My Trending Hub de Microsoft.com

Al final, una actualización de un developer que no pasa por un escaneo de vulnerabilidades, un cambio en la configuración de un sistema, el descubrimiento de una nueva forma de hacer un ataque o el cambio en algún componente del software base que es actualizado, hacen que puedan aparecer los fallos. Es por eso que la visión que yo tenía hace tres años era que el pentesting debía ser persistente y contemplado desde la fase de diseño del sistema.

Figura 4: XSS Reflejado por POST en My Trending Hub de Microsoft.com

En el caso de Microsoft.com han aparecido varios XSS Reflejados, por POST y por GET, algunos HTML Injection que probamos con este precioso Ataque David Hasselhoff, pero a estos hay que sumar el SSRF (Server-Side Request Forgery) que consideraban una feature, o una gran cantidad de "debilidades" de seguridad que van desde ficheros perdidos hasta copias de backup de URLs, sistemas de login sin HTTPs, Apache Tomcat por defecto expuestos a Internet o bugs de IIS Short name en sus dominios.

Figura 5: HTML Injection con Ataque David Hasselhoff en My Trending Hub de Microsoft.com

Reportar a Microsoft un bug de HTML Injection con un Ataque David Hasselhoff es solo porque en ElevenPaths es una de las "bromas" más utilizadas para concienciar a la gente de que debe cerrar sesión cuando se levanta de su puesto. Aquí tenemos a nuestro compañero Sergio de los Santos aleccionando a uno de sus compis hace mucho tiempo en Hispasec.... Y esperamos que al ingeniero de Microsoft que tuvo que investigar esto se le escapara una sonrisa }:)

Figura 6: Ataque David Hasselhoff. Si no lo grabas, no tiene la misma gracia }:)

Es muy complicado en infraestructuras grandes gestionar las vulnerabilidades en base a proyectos de personas que están haciendo hacking ético puntual, esto debe ser permanente y los pentesters deben focalizarse en los bugs que no sean descubiertos de manera automática, por plataformas como Faast, para que la seguridad sea un poco más alta. Al final, un XSS reflejado por GET o un SSRF debería ser descubierto de forma automática, salvo singulares excepciones que deberán caer en manos de pentesters expertos. En el libro de Hacking Web Technologies tratamos estos temas a fondo.

Saludos Malignos!

2 comentarios:

Elena Torro dijo...

Si no has sufrido un ataque David Hasseloff en tu oficina es que tus compañeros no se preocupan lo suficiente por ti.

https://www.instagram.com/p/-I1Mu5C-h6/

Jose Amaya dijo...

Uno de las maneras mas humorísticas de dar una pequeña lección de seguridad informática.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares