22 jun. 2019

PoC para vulnerabilidad de Outlook for Android

Microsoft lanzó esta semana una versión actualizada de su aplicación de Outlook para Android que corrige una grave vulnerabilidad de ejecución remota de código (CVE-2019-1105) que afectaría a más de 100 millones de usuarios.

Sin embargo, en ese momento, había muy pocos detalles de la falla, que reveló que las versiones anteriores de la aplicación de correo electrónico contenían una falla de XSS que podía permitir a los atacantes ejecutar scripts en el contexto del usuario actual, simplemente enviando un correo electrónico especialmente diseñado a las víctimas.

Ahora, Bryan Appleby de F5 Networks, uno de los investigadores de seguridad que informó este problema de manera independiente a Microsoft, presentó más detalles y prueba de concepto de la vulnerabilidad de Outlook que informó al gigante de la tecnología hace casi seis meses.

En una publicación de blog, Appleby reveló que mientras intercambiaba un código JavaScript con sus amigos a través de un correo electrónico, descubrió accidentalmente un problema de XSS que podía permitir que un atacante incrustara un iframe en el correo electrónico.

En otras palabras, la vulnerabilidad reside en la forma en que el servidor de correo electrónico analiza las entidades HTML en los mensajes de correo electrónico.

Aunque el JavaScript que se ejecuta dentro de un iframe solo puede acceder al contenido dentro de él, Appleby descubrió que la ejecución del código JavaScript dentro del iframe inyectado puede permitir que el atacante lea contenido relacionado con la aplicación en el contexto del usuario de Outlook registrado, incluidas sus cookies, tokens y incluso algunos contenidos de su bandeja de entrada de correo electrónico.

Appleby informó responsablemente sus hallazgos a Microsoft el 10 de diciembre de 2018, y la compañía confirmó la vulnerabilidad el 26 de marzo de 2019 cuando compartió un PoC universal con el gigante de la tecnología.

Microsoft parcheó la vulnerabilidad y lanzó una solución hace unos días. La compañía dice que actualmente no tiene conocimiento de ningún ataque in-the-wild relacionado con este problema.

Además de Appleby, los investigadores de seguridad Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar también informaron el mismo problema a Microsoft por separado en los últimos meses. Gaurav Kumar también compartió un video que demuestra la vulnerabilidad en acción.

Si su dispositivo Android aún no se actualizó automáticamente, se le recomienda actualizar su aplicación Outlook desde Google Play Store (21 de junio de 2019 - v3.0.88) manualmente.

Fuente: THN

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!