jueves, julio 28, 2016

Los hackers son para el verano: "Coches, Dinero y Sexo"

Si os digo que las bicicletas son para el verano seguro que todos estaréis más que de acuerdo que con la llegada del buen tiempo, las noches largas y fresquitas junto con las mañanas de luz y temperaturas bajas, se produce una buena combinación que incita a salir con la bicicleta a dar pedales. Pero no es solo temporada de bicicletas, ya que con la llegada de DefCON y BlackHat USA salen a la luz un buen número de investigaciones de seguridad realizadas por hackers que han guardado sus papers, sus PoCs y sus nuevas charlas para estos eventos.

Figura 1: Los hackers son para el verano "Coches, Dinero y Sexo"

Ya hemos ido viendo algunos avances en los medios que han ido calentando la agenda, pero aún deberemos esperar unas horas para que comiencen a salir demos hechas, artículos, herramientas. Habrá que leer, ver y aprender mucho para disfrutar del trabajo que hayan hecho estos investigadores durante los últimos meses.

Pero antes de que lleguen, hay otros trabajos que se han ido publicando estos días que merece la pena que hable de ellos un poco, porque me algunos me han encantado. Con mis compañeros le hemos dedicado tiempo a HTTPoxy, Time-Based Info Leak en OpenSSH, al robo de datos con ataques Time-Based a Facebook, Twitter y Linkedin o el nuevo ByPass de UAC en Windows 10, pero ha habido otros hacks que no quiero que se me pasen sin citar. Estos son los que he seleccionado:

Cómo pude hacerme rico robando a Microsoft, Google, Instagram y Facebook

Sin duda, este trabajo de Arne Swinnen, investigador de seguridad belga, me ha parecido de lo más divertido e ingenioso. De hecho, me eché unas risas mientras lo leía por lo out-of-the-box que es el pensamiento y cómo lo trabajó. La idea es lo que viene siendo "muy hacker", al estilo del gran John Draper "Captain Crunch" y las viejas historias de hackers.

Figura 2: Configurando como 2FA de un número de teléfono Premium

¿Qué hizo Arne Swinnen? Pues darse cuenta de que puedes asociar tu número de teléfono a tus cuentas de Google, Facebook, Instagram y Microsoft Office 365 para que den vía llamada telefónica el OTP (One-Time Password) como 2FA (Second Factor Authentication) de tus cuentas. Pero... ¿y si ponemos un número Premium de pago? Pues no pasa nada, tanto Google, Facebook, Instagram como Microsoft Office365 permitían eso, por lo que cada vez que te enviaban usando una centralita de voz para darte el OTP tenían que pagar.

Figura 3: Cada vez que hacía login, Google llama al número Premium de pago.

¿Y si sacamos Kali Linux y automatizamos la petición de tokens OTP vía llamadas telefónicas con un script en Python? Pues nada, el resultado sería de varios millones de Euros robados s las grandes empresas. Eso sí, como buen hacker, descubrió los bugs, los explicó a las empresas, los comunicó, le dijeron que no era un bug, que era una feature, lo volvieron a pensar, volvieron a comunicar con él y al final todos han tomado medias de prevención de este fraude y le han dato el crédito que merecía y unos miles de dólares - además de la libra que le sacó por la cara a Instagram -. Muy hacker. Mis respetos.

Cómo controlar los servidores de PornHub

En el mundo de los investigadores de seguridad hay sitios que son hacking friendly - que a mí me gustaría que lo indicaran mediante información en un fichero hackers.txt - y otros que directamente abren procesos de Bug Bounty abiertos al público o mediante plataformas cerradas como HackerOne. Ahí podemos encontrar cualquier tipo de empresas y de todas las industrias. La de la pornografía en Internet también, como es el caso de PornHub.

Figura 4: PornHub tiene su Bug Bounty de hasta 25.000 USD

Y ahí unos investigadores han explicado como participando en ese Bug Bounty descubrieron dos Zero Days de USE-AFTER-FREE en PHP que explotaron tras descubrir que el sitio web utilizada PHP Objects. Así que, hicieron un ataque de PHP Object Injection a través de una cookie que acababa en la función unserialized de PHP donde se encontraban los 0Days de Use-After-Free, consiguieron el Info-Leak necesario de memoria, se saltaron ASLR, construyeron el Payload con técnicas ROP y consiguieron un RCE para controlar completamente el servidor.

Figura 5: Descripción del fake PHP Object que inyectaban en la cookie
Una obra de arte preciosa de exploiting que lleva técnicas de explotación web como PHP Object Injection, técnicas de generación de exploits y el descubrimiento de dos 0days en PHP de por medio. Muy hacker y un premio de 20.000 USD por descubrir este bug en la compañía.

Y controla todas las cuentas de UBER

La última de las historias de estos días que os quería contar afecta a UBER, en este caso también a través de un proceso de Bug Bounty hecho a través de de Hacker1, donde un usuario ha sido capaz de descubrir un llamada web en el proceso de registro que permitía cambiar la contraseña a todas las cuentas del sistema. Con solo una petición web.

Figura 6: Petición para cambiar la password de cualquier usuario de UBER

Vamos, un fallo de los gordos que UBER ha premiado con 10.000 USD a este investigador por haberlo descubierto, pero que no deja más que claro que los grandes bugs pueden ser muy sencillos y aparecer en cualquier lugar. 

Y son solo tres ejemplos de lo que hemos visto antes de que comiencen las charlas de DefCON y BlackHat USA, así que... Wait for it!

Saludos Malignos!

1 comentario:

  1. Google banea y ha baneado todos los numeros de pago, hay librerias que los detectan asi que este ataque no es posible.

    ResponderEliminar