Un ”trick” para forzar a que un usuario deje de seguirte Twitter

Éste es un pequeño truco que utilizamos en nuestra herramienta Sappo para silenciar cuentas de Twitter, y que si habéis visto la conferencia al respecto, que os voy a dejar por aquí, lo podéis ver en funcionamiento. Pero como me lo han preguntado varias veces recientemente, os lo dejo en un pequeño y rápido post para que lo refresquéis o lo conozcáis los que no lo tuvierais en mente.

Figura 1: Un ”trick” para forzar a que un usuario deje de seguirte Twitter

En la red social Twitter hay algunos usuarios que, dejados llevar por la inmediatez de la red en la difusión de información y tendencias informativas, en lo frenético que es el seguimiento de la actualidad, en la ola de lo que es tendencia o en algún que otro estímulo, dan rienda suelta a tuits que puede que no estén pensados para agradarte. 

Herramientas de Twitter para gestionar usuarios

Yo soy un usuario activo en la red desde hace ya bastante tiempo, y he tenido encuentros de todo tipo en ella. Pero para lidiar con esas situaciones, Twitter te da una serie de herramientas, que os paso  contar por aquí para llegar a la del título de este artículo.

Figura 2: Mi cuenta (@chemaalonso). Llevo 11 años en Twitter

La primera de las herramientas es tener una Cuenta Privada. Solo los seguidores que tú hayas aprobado podrán ver tus mensaje de Twitter. Es la opción más drástica y más privada, y desconecta tu cuenta un poco del funcionamiento de esta red social que está pensada mucho más para el movimiento rápido de información por el mundo.

La segunda de las herramientas es Bloquear al Usuario. A partir de ese momento ese usuario no podrá ver ningún mensaje tuyo cuando esté conectado con su cuenta a Twiter y a ti no te llegará ninguno suyo. Es como si no vivierais en la misma red social. Recomendable con todos aquellos que tienen un comportamiento de insultar o abusar de la gente. Ya lo expliqué, tengo tolerancia cero con los abusones activos y pasivos en las redes sociales. 

Figura 3: Demo de cómo eliminar followers de una cuenta de Twittter con Sappo

(usando el truco siguiente)

La tercera herramienta es Silenciar al Usuario. Tan sencillo como que él puede ver tus mensajes, te puede decir lo que quiera, pero Twitter no te los muestra. Es una forma elegante de ignorar masivamente al usuario. Una utilidad muy usada en la plataforma que ayuda a reducir conflictos sin tener debate. 

Figura 4: Opciones de Silenciar, Bloquear o Denunciar

a Pablo González nunca (que es buena gente)

Pero a estas opciones le falta una cuarta herramienta que no está en Twitter, pero que se puede conseguir fácilmente, que es la de Forzar que un usuario deje de seguirte. Y para conseguirlo es tan sencillo como ir a la cuenta que te sigue (Lo voy a hacer con la cuenta de mi querido amigo Pablo González que es quién lo metió en nuestro Sappo) y ver que te sigue.

Figura 5: La cuenta te sigue

Después le bloqueas. En ese momento se rompe el vínculo de que te sigue en la red social porque tú has desaparecido del todo de Twitter para su cuenta.

Figura 6: Se bloquea al usuario

(Solo para la demo, Pablo)

Y para dejar las cosas tranquilas, le desbloqueas otra vez, con lo que todo volverá a la normalidad a excepción de que ya no te sigue.

Figura 7: Desbloqueamos a la cuenta

Esto es un pequeño truco para dar esquinazo durante un tiempo a algunas cuentas. Como decía un amigo mío es como un "échate p'allá anda un rato" para que puedas darle un respiro de ti a una cuenta de esas que solo funcionan en el momento. Puede que tarde un tiempo en darse cuenta, o incluso que no sé dé cuanta nunca...

Figura 8: Todo volverá a la normalidad pero ya no te sigue

Por último, Twitter también deja la opción de Denunciar a un Usuario para pedir que un usuario sea expulsado de la plataforma, pero ese es otro tipo de debates que ya se están generando en la propia red, o en artículos de opinión en periódicos como el de Borja Adsuara en su Tribuna en El País, y creo que es sano que como sociedad los tengamos.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso) - Consigue 100 Tempos en MyPublicInbox

Cómo obtener un Token OAuth con el QR Code del menú del bar y que te controle el Sappo

Desde el comienzo del desconfinamiento, y con la llegada de la fase dos de la desescalada, las tiendas y negocios de nuestro país han ido reactivando poco a poco la economía española. Uno de los grandes retos de esta desescalada ha sido encontrar nuevas formas de acercar los productos a los clientes evitando el contacto físico y manteniendo las distancias de seguridad dentro de las tiendas y restaurantes. 

Figura 1: Cómo obtener un Token OAuth con el
QR Code del menú del bar y que te controle el Sappo

Una de las técnicas más utilizadas ha sido la implementación de cartas o catálogos digitales, a los que podemos acceder utilizando la función de lectura de Códigos QR implementada en la mayoría de smartphones actuales o a través de una aplicación de la App Store. Aunque es una brillante idea para evitar el contacto y para garantizar la seguridad física de los clientes, puede suponer un gran riesgo para la ciberseguridad, como vamos a ver hoy.

En la mayoría de establecimientos que utilizan este método, el Código QR se encuentra en forma de papel plastificado o una pegatina pegada a la mesa en la que nos sentamos, haciendo posible que cualquier persona con intenciones maliciosas pueda despegarlo y pegar su propio Código QR. El riesgo aumenta en el caso de los establecimientos que permiten realizar el pago a través de Internet.  

Figura 2: Libro de "Cómo protegerse de los peligros en Internet"
de 0xWord escrito por José Carlos Gallego.

El uso de un Código QR malicioso no es nuevo, e incluso detrás de algunas de las direcciones detrás de esos códigos se han encontrado Kit de Exploits e incluso un bonito meterpreter para atacar dispositivos Android inseguros, o iPhones con exploit de algún Jailbreak, como el famoso JailOwnMe de Jose Selvi.  Pero... y ¿si utilizamos ese QR Code para llevar a la víctima a la página de Microsoft Office, Google, Facebook o Twitter que autoriza compartir Tokens OAuth con apps? Aquí puedes ver qué pasa si haces mal un clic en una app maliciosa enviada por Sappo.

Figura 3: Robando tu cuenta de Microsoft con Sappo

¿Y si hacemos que en lugar de ir a la carta vaya a una App maliciosa que se llame "Carta Digital" y le pedimos un Token OAuth como hacemos con Sappo? A continuación, os enseñaremos cómo se puede lograr una escalada de privilegios (en este caso en una cuenta de Microsoft) utilizando un Código QR creado por nosotros y la herramienta Sappo, solo por la comodidad de integrar la explotación del Token OAuth robado con las acciones de nuestra herramienta.

Un QR Code para que las víctimas besen al Sappo

Lo primero será la construcción de una aplicación en la plataforma de Microsoft para que nos ayude a extraer los datos de las cuentas que confíen en ella. Esto lo podréis hacer accediendo desde este enlace y utilizando cualquier cuenta de Microsoft. Este paso es necesario para obtener el AppID y el Secret que nos pedirá Sappo en los pasos posteriores. También es fundamental especificar un servidor con end-point donde recibir el AuthCode y el AccessToken para ello deberemos usar la URL de nuestro https://Sappo/Token/Authorize/AppID

Figura 4: Creando la App maliciosa en Microsoft que usará Sappo

Nota: Vale, todo esto no es público porque como ya sabéis Sappo es una herramienta privada, pero el proceso completo de cómo funciona lo tenéis en el artículo de SAPPO: Spear APPs to steal Oauth-Tokens que tenéis publicado hace ya mucho tiempo. Al final, se trata de explicar una PoC de cómo podría hacerse algo así, no de ponerlo en producción. Si quieres hacerlo tú, te dejamos la charla donde nuestros compañeros Chema Alonso y Pablo González presentaron Sappo en la RootedCON 2016.

Figura 5: Solo hay que besar un Sappo por Pablo González y Chema Alonso

Dicho esto, el siguiente paso será acceder a nuestro Sappo y crear nuestra aplicación, para ello en el apartado Apps seleccionaremos la opción “Create New”. A continuación, en el campo de nombre debemos utilizar un nombre que no haga que el usuario sospeche de que se trata de una trampa, por ejemplo, “Carta Digital”. 

Figura 6: Una vez creada la App Maliciosa la damos de alta en Sappo

En los campos de Id y Secret introduciremos los datos de nuestra aplicación creada en la plataforma de Microsoft. En el apartado de la imagen podemos poner una foto del logo del restaurante para que la estafa sea todavía más creíble. Para no levantar sospechas también es recomendable redirigir a la víctima a la página original del establecimiento en el que se encuentre.

Ahora que ya tenemos nuestras aplicaciones creadas solo nos falta crear las solicitudes de permisos y convertir esta petición en un Código QR. Este proceso es bastante sencillo, solo tenemos que acceder al apartado tokens en el Sappo. 

Figura 7: Creando un Spear Phishing con el enlace malicioso para
conseguir el Token OAuth para la App maliciosa que usará Sappo

En este caso en particular, como nuestro objetivo es convertir la petición en un Código QR rellenaremos los apartados como si fuésemos una aplicación de cartas digitales, sin embargo en el apartado de “Victim´s email address” pondremos un correo electrónico al que tengamos acceso para poder acceder al enlace de la petición y así poder copiarlo y transformarlo en un Código QR que posteriormente podremos imprimir y colocar en la mesa de cualquier bar o establecimiento.

Una vez hayamos terminado de introducir todos los datos pulsaremos en “Create” y accederemos al correo electrónico al que nos hayamos enviado la petición, pulsaremos sobre el enlace y cuando nos redirija a la página en la que se solicitan nuestros permisos de Outlook copiaremos el enlace que aparece en la barra de nuestro buscador. 

Figura 8: El enlace en el e-mail lleva a la URL de petición de un
Token OAuth para la App maliciosa en una cuenta de Microsoft

Ahora solo nos queda convertir este enlace en un Código QR, para ello podemos encontrar infinidad de páginas web gratuitas con esta función en las que solo hay que introducir la URL copiada y pulsar un botón para convertirla. En algunas de estas páginas podremos seleccionar el formato de nuestro Código QR o incluso añadir una foto con el logo del negocio al que queramos suplantar logrando así una mayor confianza entre las posibles víctimas.

Figura 9: Convirtiendo la URL de petición de permisos en un
QR Code malicioso para imprimirlo y ponerlo en la mesa del bar.

Con nuestro Código QR creado solo tendremos que imprimirlo en papel adhesivo o en papel normal dependiendo de donde vayamos a colocarlo y esperar a que las víctimas “Besen al Sappo”. Para terminar, solo tendremos que esperar a que aparezca en nuestra lista de tokens aquellos que sean válidos y con los que podremos obtener el control de las cuentas de las víctimas que hayan caído en esta trampa.  El resto ya lo tenéis en los ejemplos de lo que se puede hacer con Sappo.

• Sappo: Spear APPs to steal OAuth-tokens
• Sappo para Twitter
• Sappo: Ransomcloud O365

Autor: Sergio Sancho Azcoitia

Bad Guys Never Sleep

El pasado martes impartí una charla en el evento de Synnex Westcon Comstor México junto con el equipo de seguridad de Cisco, y me pidieron que hablara un poco del mundo del cibercrimen y el hacking, así que me preparé un charla de cuarenta minutos que os dejo ahora subida a mi canal Youtube - donde tienes todas las que he sido capaz de recuperar de estos últimos veinte años dando conferencias -.

Figura 1: Bad Guys Never Sleep

Como hablar del mundo del cibercrimen y el hacking es un tema muy amplio, decidí centrarme en un ejemplo concreto, como es la estafa de los BitCoins usando famosos para enganchar a las víctimas haciéndolos creer que van a recibir el doble de lo que envíen a una wallet. Por supuesto, es una estafa ya antigua, y los cibercriminales la han ejecutado de diferentes formas:

- Atacanto a Twitter y robando las cuentas privilegiadas de los empleados.

 

- Haciendo campañas de Fake News y Malvertising con la imagen de famosos.

 

- Robando cuentas verificadas y "pintándolas" como si fueran Elon Musk y otros famosos, como hacemos nosotros con nuestro Sappo para robar los tokens OAuth de Twitter y controlarlas totalmente. 

Al final, un mismo esquema de fraude lo han ido ejecutando de diferentes formas usando diferentes técnicas de hacking, así que me servía de hilo argumental perfecto para explicar cómo funciona el mundo del cibercirmen.

Figura 2: Bad Guys Never Sleep por Chema Alonso

Así que si quieres ver la charla, y tienes estos cuarenta minutos, te la dejo disponible por aquí. Lo más importante, si algún amigo, familiar o conocido te cuenta algo de BitCoins que le han dicho... dile que tenga cuidado con cómo gestiona su dinero.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

La última charla en que participé antes del COVID-19

Justo antes de que se declarara el periodo de confinamiento en España, yo tuve la oportunidad de participar en un seminario de ciberseguridad en la ciudad de Ontinyent gracias a la organización AITEX. En el seminario participados dos ponentes, donde intentamos dar algunos consejos de ciberseguridad orientados a empresas de la zona. Después de esta charla, ya solo estuve en RootedCON con una conferencia nueva sobre las Gremlin Botnets.

Figura 1: La última charla en que participé antes del COVID-19

Mi compañero en este seminario habló de Ransomware, del problema de la fortificación de seguridad de los puestos de trabajo, y de cómo los ataques de Phishing son uno de los mayores problemas en las pequeñas y medianas empresas, sobre todo para aquellas que no tienen equipos de seguridad dedicados. Continuando con su charla, yo hablé de los ataques de Phishing para robar Tokens OAuth y comprometer el correo electrónico de las personas clave de las organizaciones, utilizando nuestra herramienta SAPPO de la que os he hablado por aquí varias veces.

Figura 2: Seminario de Ciberseguridad por Chema Alonso

Además, para terminar, hablé de las amenazas a las que nos enfrenamos en el futuro gracias a la Inteligencia Artificial, y las evoluciones en Cognitive Services de visión artificial, recreación de personas, DeepFakes o ataques de CEO. Algo de lo que también he hablado mucho por aquí. Os dejo por aquí algunas de las referencias de los temas de los que hablo en la charla:

- SAPPO: Spear APPs to steal Oauth- Tokens

- SAPPO: Ransomcloud

- SAPPO: Ataques a Twitter

- Big Data & AI for Bad Guys

- Cognitive Services para reconocer Celebrities

- ¿Es Chema Alonso realmente George Clooney?

- Autoencoders, GANs y DeepFakes: Ataque del CEO

Este seminario, donde hablo de lo que he estado trabajando en los últimos tiempos, pero tiene la curiosidad de que es la última charla que he impartido y que, junto a la de RootedCON 2020, han sido las dos únicas en las que he participado este año.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Un test con 8 e-mails para ver si eres capaz de detectar los ataques de #phishing

A día de hoy, más del 90% de los ataques a empresas que sufren robo de datos con herramientas APT, robo de identidades, o extorsiones mediante malware, sigue teniendo una fase de entrada por el correo electrónico. Sigue siendo esa autopista de entrada que llega hasta la red de la empresa por medio de un buzón público que se conoce. Esto también le pasa a los particulares que ven como sus equipos son cifrados por un ransomware tras haber recibido un mensaje de e-mail que no debieron abrir.

Figura 1: Un test con 8 e-mails para ver si eres capaz de detectar los ataques de phishing

Nosotros hemos estudiado mucho estos ataques y soluciones de defensa durante muchos años, y en el artículo de "El e-mail ha muerto. ¡Larga vida al e-mail!" hablé en detalle de todos los problemas que puede acarrear el uso del e-mail para contactar con un Internet desconocido cuando además es el identificador de tus servicios en Internet. Ese fue uno de los motivos que nos llevaron en 0xWord a crear la plataforma MyPublicInbox de la que os he hablado varias veces, y que utilizo yo como forma de conectarme con todo Internet. ¿Quieres contactar con Chema Alonso? Perfecto, pero hazlo vía mi buzón público en MyPublicInbox.

Figura 2: Singularity Tech Day: MyPublicInbox

Pero aún así, a pesar de todas las mitigaciones de las que hablaba en el artículo de "El e-mail ha muerto. ¡Larga vida al e-mail!", el phishing sigue siendo un problema profundo en empresas y particulares. Y cuando se empieza a conocer más o menos cómo hacen los ataques las personas, hay que adaptarse a nuevas amenazas que llegan por e-mail, como los ataques Spear APPs to steal Oauth- tokens de los que os hablamos en Sappo. Una técnica muy peligrosa, que ya empiezan a tomarse en serio en los proveedores de identidad.

Figura 3: Demo de SAPPO para atacar empresas por e-mail

Pues bien, os cuento todo esto, porque hay un sencillo test de 8 e-mails que ha publicado el equipo de seguridad de Google que me ha gustado hacerlo, y quiero compartirlo con vosotros. Se trata de eso, solo de 8 mensajes de e-mail que recibes en tu bandeja y debes decidir si son legítimos o no, y luego te explica los motivos por los que sí lo son y por los que no  lo son.

Figura 4: Uno de los tests de ataques de phishing por e-mail

El primero es bastante sencillo, ya que utiliza un link a una URL simulando ser un documento, lo que puede ser un ataque de phishing de credenciales en el servicio web enlazado o un "Watering-Hole" para atacarte con un exploit-kit en un servidor web hackeado. Fácil de detectar.

Figura 5: Un mensaje de alguien que conoces pero desde otra dirección y con un PDF adjunto

Después van apareciendo otros tipos de ataques con subdominios controlados haciendo el típico google.com.security.hi.co.support o similares. U otros que simulan direcciones de remitentes de sitios web oficiales y conocidos. Al final, son solo 8 pruebas que no son extremandamente difíciles si tienes experiencia, pero... que alguno se puede comer.

Figura 6: Se puede pasar sin dificultad si estás al día.

También hay alguno legítimo, y hay que acertarlos que no son fáciles, como el caso de un mensaje de una plataforma muy conocida que utiliza un dominio para el envío de mensajes de correo electrónico distinto al dominio que tiene para ofrecer su servicio principal.

Figura 7: Es un e-mail legítimo pero ... ¿lo es la app a la que le das permiso?

Me ha gustado especialmente que a los ataques de SAPPO para robar los tokens OAuth mediante apps maliciosas creadas en el Identity Provider de Google, son tratados en este test de un forma muy clara. Sí, es un e-mail legítimo - como decíamos en la charla de SAPPO -, pero es igual de peligroso porque el ataque no está en el engaño de phishing si no en conseguir que le des permisos sobre tu cuentea de e-mail completa.

Figura 8: Así es. Podría ser un robo de tokens OAuth en toda regla aún siendo legítimo.

Y por último, trata también el caso de la persona que "parece" que ha cambiado de dirección de e-mail, tal y como se ve en la Figura 5. Es decir, es la misma persona con la que hablas habitualmente. Los mensajes son de conversaciones con sentido, pero la dirección de e-mail ha cambiado. Y esto tiene pinta de ser más un ataque de phishing que no. Yo lo he marcado así porque además venía con un PDF que puede tener un exploit y ya son dos cosas de las que fiarse, y abría que descargar sin abrir ese PDF, escanearlo, y aún así...

Figura 9: Una dirección diferente y un PDF adjunto... malo

Pero lo cierto es que hay gente que configura exactamente igual la cuenta y simplemente cambia la dirección de e-mail (porque usa varias cuentas para diferentes cosas), y Gmail ha metido una alerta que puedes encontrarte en tu buzón que avisa de esto mismo.

Figura 10: Alerta real en Gmail cuando se cambia la dirección

Si tienes 10 minutos, hazlo. Merece la pena, y envíaselo a familiares y amigos para que se den cuenta de lo difícil que puede ser a veces encontrar la diferencia entre un correo electrónico legítimo y otro que no lo es y que puede ser un grabe problema para su seguridad personal y/o la de su empresa.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

OAuth: La amenaza invisible

El pasado viernes 25 de enero de 2019 se celebró la V Sh3llcon. Este congreso es especial para mí, ya que se celebra en la ciudad de Santander, una tierra muy conocida por mí. Por quinto año tuve el honor de poder estar allí, aunque fuera en un viaje de ida y vuelta y con mucha ‘prisa’. Unos minutos antes de empezar la charla le comenté a Sergio: “Ya son 5 años y aquí seguimos…”. Sergio, que es el presidente de esta CON me respondió: “Ufff, sí…”. Vi el esfuerzo de todo el equipo en sus ojos. No ha sido fácil que Sh3llcon llegase al quinto año. Han sido pioneros en el norte y debemos seguir empujando. Como digo, para mí un honor.

Figura 1: OAuth "La amenaza invisible" en Sh3llcon V

Este año quería mostrar algunas de las cosas que hacemos en el departamento de Ideas Locas. Siempre resulta curioso contar que trabajas en un departamento de Ideas Locas. La primera reacción es de sorpresa, pero una vez que defines lo que se hace en el departamento y que somos la fase de pre-innovación, la gente asiente y entiende.

Ideas, pruebas de concepto ágiles, pruebas de un solo día, artículos, cosas que pueden acabar en patentes, ideas que acaban en producto o servicios, difusión de la parte tecnológica, etcétera. Un día a día en el que uno no tiene tiempo de aburrirse, sobre todo si aparece el boss y dice: "Chicos, reunión de urgencia que tenemos que probar una idea nueva."

En esta edición, como pone en el título, lo que quería contar es la evolución de SAPPO, la herramienta de Ethical Hacking para explotación de servicios por medio de OAuth, tanto en su versión 1, como 2. Una idea que surgió para la RootedCON 2016, pero que ha seguido siendo evolucionada.


Figura 2: RootedCON 2016 "Solo hay que besar un Sappo"
De ahí evolucionamos la plataforma para crear el ataque de RamsomCloud O365 que utiliza el propio Kevin Mitnick en sus conferencias, y se basa en una idea a la que todo el equipo tiene mucho cariño.


Figura 3: Kevin Mitnick explicando Sappo y Ransomcloud
En Santander quería mostrar cómo la idea surgió y cómo la idea fue evolucionando hasta llegar a la prueba con Twitter completa después de que Chema Alonso lo presentará en la pasada OpenExpo.

La charla en la Sh3llCON V

En la primera parte se hablaba de la evolución del phishing, de que esto ya no era una cosa que se trata de robarte credenciales con un ‘landing page cutre’. El phishing había ido evolucionando, buscando obtener información o buscando que el usuario realice algún tipo de acción beneficiosa para el atacante. Tras ver varios ejemplos, el más claro es el secuestro de WhatsApp Web a través de un QRCode, del cual ya hemos hablado desde el punto de vista técnico.

Figura 4: Esquema de QRCode Hijacking para WhatsApp Web

En resumen, hablamos del SPAM, del Spear Phishing, del Bar Spoofing, de los Punycode, de las WebView de las apps que no muestran dominio, de la codificación que no distingue una I (i mayúscula) de una l (L minúscula), etcétera. Se ve claramente una evolución en las técnicas.

Llegó la hora de OAuth

Lo primero es entender que OAuth es un protocolo abierto, el cual nos va a permitir el proceso de autorización segunda de una API. Las aplicaciones que utilizan este protocolo son las de escritorio, las de web y las móviles. En OAuth versión 1 las móviles y de escritorio encontraban algunos problemas.

Figura 5: Esquema de funcionamiento de OAuth 1

Vimos la diferencia entre OAuth 1 y 2, tal y como se puede ver en las siguientes imágenes. Menos flujo en el caso de la versión 2 del protocolo y los scopes bien definidos.

Figura 6: Esquema de funcionamiento de OAuth 2

Cuando uno pregunta a la gente si conoce OAuth, en muchas ocasiones nos encontramos una respuesta negativa. ¿Dónde se puede encontrar? ¿Lo utilizamos como usuarios diariamente? Pues la respuesta es afirmativa en la mayoría de los casos. Si nos fijamos en la siguiente imagen. Son sólo algunos ejemplos de donde podemos encontrar OAuth.

Figura 7: Sitios que permiten el uso de OAuth

Como se puede ver está en la mayoría de servicios de hoy en día. Durante la charla hablamos de cómo fue los primeros pasos en el trabajo de OAuth. Las típicas preguntas que surgen cuando uno quiere empezar a revisar un tema o empezar a investigar cierto tema. Nos fuimos a la documentación de las API de Twitter y Microsoft (para Office 365 y Outlook).

La revisión de la documentación es fundamental, una primera etapa de aprendizaje y de investigación que debemos llevar a cabo para poder llegar a un objetivo previo o bien definido. Para empezar la investigación, lo primero, aparte de hacer uso de la documentación, es crear una aplicación o app OAuth dentro de la plataforma en la que se quiera trabajar.

Figura 8: Creación de una aplicación OAuth en Microsoft Office365

La parte de conocimiento sobre las peticiones que hay que hacer es fundamental en el uso de las apps OAuth. De esto ya se habla largo y tendido en el artículo de Sappo: Spear APPs to steal OAuth-Tokens. Haciendo un breve resumen tenemos que tener estos conocimientos básicos en mente:

1. App creada en la plataforma. Esto nos aportará un APP ID y un Secret.

2. Se realiza una petición HTTP, en el caso de Microsoft de tipo GET. Se indica el listado de scopes, el APP ID o Client ID y el Redirect URI o dirección de Callback. Esta es la petición que la víctima realizará en un ataque SAPPO. Esta es la petición que el cliente realizará contra el proveedor de identidad. Esto lleva al usuario a un sitio web del proveedor dónde le indicará que la App X quiere tener ciertos permisos. Aquí está el proceso de autorización. Si la víctima acepta o dice ‘Sí’ se hará entrega desde el proveedor a nuestra dirección de Callback de un AuthCode.

Figura 9: Petición de autorización de permisos OAuth

3. Con el AuthCode en poder del cliente, éste puede ir directamente al proveedor para indicarle que quiere recoger un Access Token. Dependiendo del proveedor (Microsoft o Twitter) nos pueden entregar un Access Token o Refresh Token. Es decir, uno o dos tokens.

Figura 10: Petición de Authorization_code

4. En este instante se obtiene el Access Token y se dispone de autorización para acceder a funcionalidades de la cuenta, en función de los scopes que nos hayan autorizado.

Se llevó a cabo en la charla una demo sobre SAPPO en Office 365, aunque ya hemos visto en este blog diferentes ejemplos. Hacemos un recopilatorio:


Figura 11: Robo de Office365 y acceso a los e-mails


Figura 12: Ransomcloud Office365
SAPPO y Twitter

La última demo fue con el SAPPO y Twitter. Totalmente interactiva. Cuando se envía el e-mail para que la víctima haga clic en el enlace que se le envía, el que solicitará el AuthCode al proveedor, si se autoriza la app, ya se tendrá acceso a diferentes funcionalidades. En este caso, se podrá hacer uso de los tuits, publicar, leerlos, leer mensajes directos, eliminar a usuarios que se siguen desde la cuenta y, lo más importante.

Figura 13: PoC de Sappo con Twitter

Lo más importante es que desde la API de Twitter si se bloquea un usuario, si éste te sigue dejará de hacerlo. Esto es algo bastante importante, ya que si un usuario es “infectado” y autoriza a una app a poder bloquear followers puede que se encuentre la cuenta totalmente a 0 en lo que a followers se refiere. Si te ganas la vida de influencer puede ser un riesgo grande.

Referencias de Sappo

[Post] Sappo: Spear APPs to steal OAuth-Tokens
[Post] Sappo: RansomCloud O365
[Post] Cómo se ha hecho a Gmail el ataque de SPAM masivo por OAuth 2

[Post] Google alerta de las apps NO verificadas al pedir permisos OAuth. Microsoft Office 365 aún debe mejorar un poco.

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.