La vulnerabilidad habría permitido a un atacante tomar control de una cuenta con sólo hacer clic en un enlace
Facebook acaba de entregar una recompensa de 25 mil dólares por el reporte de una vulnerabilidad crítica de falsificación de solicitud entre sitios (cross site request forgery). Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, la vulnerabilidad podría haber sido explotada para secuestrar cuentas de la red social; el atacante sólo necesitaba engañar a la víctima para que hiciera clic en un enlace especialmente diseñado.
El hacker de sombrero blanco conocido en la comunidad como “Samm0uda” fue el encargado de reportar la falla a la red social, que otorgó la considerable suma por su reporte.
“La vulnerabilidad podría haber permitido que usuarios maliciosos enviaran solicitudes con tokens falsificados a puntos finales arbitrarios en Facebook, con lo que era posible tomar control de la cuenta de la víctima. Las víctimas sólo tenían que hacer clic en un enlace”, agregó el especialista en seguridad en redes.
“Explotar la vulnerabilidad es posible debido a un endpoint vulnerable que toma otro endpoint de Facebook seleccionado por el atacante junto con los parámetros y realiza una solicitud POST a ese endpoint después de agregar el parámetro fb_dtsg. Además, este endpoint se encuentra bajo el dominio principal www.facebook.com, por lo que es muy fácil para los atacantes engañar a las víctimas para que se dirijan a esa URL”, agregó Samm0uda.
El experto en seguridad en redes publicó las URL de su prueba de concepto, que podría explotarse para publicar cualquier cosa en el timeline de la víctima, o incluso cambiar su foto de perfil. La vulnerabilidad incluso podría haber sido explotada para eliminar una cuenta de Facebook, aunque las víctimas tendrían que haber proporcionado su contraseña a la plataforma antes de completar el proceso de eliminación de la cuenta.
Por si no fuera suficiente, la vulnerabilidad también habría sido explotada restablecer la contraseña de una cuenta cambiando la dirección email o número de teléfono asociado a ésta. El atacante tendría que haber enviado algunas solicitudes a Facebook para agregar sus propios medios de contacto a la cuenta, con lo que restablecer la contraseña sería cosa fácil.
Para tomar control total de una cuenta, un hacker tendría que haber explotado la vulnerabilidad dos veces: una para reemplazar o agregar su dirección email o número de teléfono, y una segunda ocasión para confirmar el cambio.
El experto también pudo crear un enlace único que le permitió obtener el token de acceso de las víctimas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
