24 ene. 2015

Falla en Google Apps permitía desactivar la autenticación de 2 factores (2FA)

Una vulnerabilidad crítica de Cross-site Scripting (XSS) en la consola de administrador de Google Apps permitió que los delincuentes puedan ejecutar cualquier petición en el dominio https://admin.google.com/.

Los administradores pueden usar la consola de Google Apps para añadir nuevos usuarios, configurar permisos, administrar la configuración de seguridad. Esta característica es utilizada principalmente por las empresas, especialmente aquellos que utilizan GMail como servicio de correo electrónico para su dominio.

La vulnerabilidad XSS permitió a los atacantes realizar las siguientes acciones:
  • Crear nuevos usuarios con derechos "super admin".
  • Deshabilitar la autenticación de dos factores (2FA) y otras medidas de seguridad de las cuentas existentes y de múltiples dominios.
  • Modificar la configuración del dominio para que todos los correos electrónicos entrantes sean redirigidos a direcciones controladas por el atacante.
  • Secuestrar un cuenta/correo electrónico por restablecer la contraseña, deshabilitar 2FA y quitar el control de tiempo de ingreso.
Esta vulnerabilidad 0-Day fue descubierta y reportada en privado a Google por el ingeniero Brett Buerhaus el 1 de septiembre y la compañía ha corregido el defecto dentro de 17 días. A cambio del informe, Google pagó U$S5.000 el investigador, bajo su programa de recompensas.

Según el investigador, cuando los usuarios acceden a un servicio que no ha sido configurado para su dominio, se presenta una página de "ServiceNotAllowed". Esta página permite a los usuarios cambiar entre cuentas para iniciar sesión en el servicio. Sin embargo, cuando se selecciona una cuenta, se ejecuta una porción de código JavaScript.

https://admin.google.com/mrzioto.com/ServiceNotAllowed?service=grandcentral&continue=javascript:alert(document.cookie);//
Este código podía ser suministrado por el usuario en el parámetro "continue" de la URL y esto permitía ataques XSS.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!