Falla en Google Apps permitía desactivar la autenticación de 2 factores (2FA)
Una vulnerabilidad crítica de Cross-site Scripting (XSS) en la consola de administrador de Google Apps permitió que los delincuentes puedan ejecutar cualquier petición en el dominio https://admin.google.com/.
Los administradores pueden usar la consola de Google Apps para añadir nuevos usuarios, configurar permisos, administrar la configuración de seguridad. Esta característica es utilizada principalmente por las empresas, especialmente aquellos que utilizan GMail como servicio de correo electrónico para su dominio.
La vulnerabilidad XSS permitió a los atacantes realizar las siguientes acciones:
Esta vulnerabilidad 0-Day fue descubierta y reportada en privado a Google por el ingeniero Brett Buerhaus el 1 de septiembre y la compañía ha corregido el defecto dentro de 17 días. A cambio del informe, Google pagó U$S5.000 el investigador, bajo su programa de recompensas.
Según el investigador, cuando los usuarios acceden a un servicio que no ha sido configurado para su dominio, se presenta una página de "ServiceNotAllowed". Esta página permite a los usuarios cambiar entre cuentas para iniciar sesión en el servicio. Sin embargo, cuando se selecciona una cuenta, se ejecuta una porción de código JavaScript.
Fuente: The Hacker News
Los administradores pueden usar la consola de Google Apps para añadir nuevos usuarios, configurar permisos, administrar la configuración de seguridad. Esta característica es utilizada principalmente por las empresas, especialmente aquellos que utilizan GMail como servicio de correo electrónico para su dominio.
La vulnerabilidad XSS permitió a los atacantes realizar las siguientes acciones:
- Crear nuevos usuarios con derechos "super admin".
- Deshabilitar la autenticación de dos factores (2FA) y otras medidas de seguridad de las cuentas existentes y de múltiples dominios.
- Modificar la configuración del dominio para que todos los correos electrónicos entrantes sean redirigidos a direcciones controladas por el atacante.
- Secuestrar un cuenta/correo electrónico por restablecer la contraseña, deshabilitar 2FA y quitar el control de tiempo de ingreso.
Según el investigador, cuando los usuarios acceden a un servicio que no ha sido configurado para su dominio, se presenta una página de "ServiceNotAllowed". Esta página permite a los usuarios cambiar entre cuentas para iniciar sesión en el servicio. Sin embargo, cuando se selecciona una cuenta, se ejecuta una porción de código JavaScript.
https://admin.google.com/mrzioto.com/ServiceNotAllowed?service=grandcentral&continue=javascript:alert(document.cookie);//
Fuente: The Hacker News
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!