Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Solucionada vulnerabilidad XSS en el panel de control de Google Apps




Solucionada la grave vulnerabilidad Reflected Cross-Site Scripting XSS en Panel de Administración de Google Apps descubierta por Brett Buerhaus que permitia desactivar la autenticación en dos pasos (2FA) de cualquier cuenta Gmail del dominio, así como redirigir todos los mensajes de correo electrónico recibidos por una cuenta de Google. El investigador Brett Buerhaus ha sido premiado con 5,000$ gracias al Programa de recompensas de errores de Google.







La consola de Google Apps permite a los administradores gestionar la cuenta de su organización. Los administradores pueden utilizar la consola para añadir nuevos usuarios, administrar la configuración de seguridad y permitir a los servicios de Google. La característica es utilizada por muchas empresas que utilizan Gmail como su servicio de correo

Un fallo de seguridad ha sido descubierto en la consola de administrador de las aplicaciones de Google. Dada esta vulnerabilidad (XSS), los atacantes tenían la posibilidad de desactivar la autenticación en dos pasos (2FA), así como redirigir todos los mensajes de correo electrónico recibidos por una cuenta de Google.

El problema de seguridad fue descubierto por Brett Buerhaus, que notificó a la compañía de Mountain View el pasado 1 de septiembe y, en tan solo 17 días, fue solucionado por Google. Como recompensa por el hallazgo, los de Google han ofrecido al investigador 5.000 dólares, puesto que así lo estipulan en su programa de recompensas de fallos de seguridad. Según esta vulnerabilidad catalogada como crítica, un atacante podía forzar al administrador de cuentas de Google a ejecutar prácticamente cualquier solicitud.

"Con esta vulnerabilidad específica, hay un poco de ingeniería social involucrada al tener que convencer a un administrador, que debe estar logeado activamente, a visitar una página con el playload malicioso o convencer a hacer clic en un enlace a su carga maliciosa. Pero a pesar de eso, el resultado es devastador, ya que evita por completo la seguridad de que Google ofrece a sus cuentas y le da al atacante acceso completo a cualquiera de su panel de administración o dirección de correo electrónico, calendario de cualquier usuario, o cualquier otro servicio de Google asociada a ella" comentó Brett Buerhaus del Team Potatosec

Esta consola, el administrador de cuentas de Google, permite añadir nuevos usuarios, configurar los permisos de cada cuenta, administrar la configuración de seguridad y algunos otros parámetros que, en manos ajenas, comprometen gravemente la seguridad de los usuarios. El administrador de cuentas es utilizado, entre otros, por parte de empresas que utilizan el servicio de correo electrónico de la compañía de Mountain View -Google-, y sirve como panel de control para establecer configuraciones como las anteriormente mencionadas. Concretamente, según este fallo de seguridad los atacantes podían:
  • Crear nuevos usuarios con permisos de administrador.
  • Desactivar la autentificación en dos factores (2FA) y otros sistemas de seguridad previamente configurados.
  • Redireccionar los buzones de correo electrónico para recibir todos los mensajes de una o varias cuentas de correo electrónico.
  • Robar una cuenta de correo electrónico, restablecer la contraseña o desactivar los sistemas de seguridad de forma temporal.




Con respecto a este serio problema de seguridad, la compañía de Mountain View ha mostrado un comportamiento impecable. No sólo han cumplido con su programa de recompensas ofreciendo 5.000 dólares al investigador que les ha ofrecido información sobre la vulnerabilidad, sino que han ofrecido además una solución realmente rápida, en tan solo 17 días desde que fuese descubierto el agujero de seguridad. Ahora bien, lo que suena extraño es que Google mantiene a su equipo Project Zero investigando fallos de seguridad de Microsoft, pero su problema ha tenido que descubrirlo alguien ajeno a la compañía.

Fuente:
http://www.adslzone.net/2015/01/23/robar-cuenta-google-doble-autentificacion/

Detalles técnicos y PoC


URL: https://admin.google.com/

Proof of Concept:

 https://admin.google.com/mrzioto.com/ServiceNotAllowed?service=grandcentral&continue=javascript:alert(document.cookie);//



 Para demostrar esto, construyó una prueba de concepto que muestra una carga útil JavaScript tirando de la información desde la consola de administración, agarrando una lista de usuarios, cambiar la contraseña y la eliminación de la configuración de seguridad desde el primer usuario en la lista.




Timeline:
  • Discovered and reported: 9/1/14
  • Acknowledged: 9/5/14
  • Fixed: 9/18/14
Bounty Reward:

 

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.