martes, 20 de noviembre de 2012

Ampliación de "Un Ejemplo Universitario"

Saludos,

     Antes de que @Aetsu publicara su último post acerca de las múltiples vulnerabilidades que había en la nueva interfaz de su universidad, estuvimos charlando sobre las posibilidades que ofrecía. Los que llevais ya cierto tiempo leyendo mi blog sabeis que no puedo quedarme tranquilo sólo con el ataque básico, sino que intento ampliar la perspectiva y aumentar la profundidad del ataque.  ¿Para qué quedarte con un XSS cuando puedes hacer un XSS Worm?



     En eso fue lo primero que pensé. Montar un worm que se expandiera de forma automática, y así poder tener el máximo número de personas infectadas. Ya hicimos un XSS worm sencillo a modo de PoC en su momento. En este caso no sólo podrías robar sus cuentas, lo que sería muy jugoso para leer los correos de la cúpula de gobierno (Rector, vices, y Decanos y vices,), sino que como bien dijo Aetsu se podría crear una botnet, y usarla por ejemplo para hacer spam masivo (¿Por cuanto se venden los bots?).

    En casi todas las universidades existe un apartado con el nombre de "Directorio" (o algo similar) que permite a los alumnos y profesores poder localizar el correo electrónico de un alumno o profesor a su vez, para poder ponerse en contacto. Una cosa muy útil. Sobre todo para hacer el mal. A parte de poder encontrar un correo asociado a un nombre concreto, se pueden hacer búsquedas con 3 caracteres para que te muestren todos los correos cuyo nombre real coincida:





       En primer lugar, como ya se mencionó en el post anterior, el servidor SMTP permite el spoofing de correo, luego esto nos da un poder de ingeniería social abrumador. En un entorno universitario, es común que los profesores envíen PDFs a sus alumnos mostrando por ejemplo el horario de las prácticas y la distribución de grupos. ¿Qué impediría a un usuario malintencionado buscar los correos de los alumnos de un profesor concreto, y después enviarles un PDF infectado usurpando la dirección del profesor? Absolutamente nada.

      Además, estas bases de datos de nombres, departamentos, alumnos que tienen la mayoría de las universidades nos permiten hacer un ataque de fuerza bruta bastante sencillo de implementar para poder tener todas las direcciones de correo. Estoy seguro que esa información es muy valiosa para las mafias del SPAM :)

      Esta base de datos que hemos sacado vía fuerza bruta, junto con el XSS, nos permitiría poder dirigir correctamente la expansión del worm, ya que estaríamos seguros de que todos los correos afectados serían de la misma universidad, y además podríamos ver a quien corresponde cada correo electrónico infectado.


    Por último, a modo de daño colateral se podría hacer un DoS al servidor de correo, como a ocurrido con otros worms (véase el caso de Samy), ya que al ponerse en marcha, si no se limita el número de correos a enviar, podremos sobrecargar el servidor.




 
5 0verl0ad Labs: Ampliación de "Un Ejemplo Universitario" Saludos,      Antes de que @Aetsu publicara su último post acerca de las múltiples vulnerabilidades que había en la nueva interfaz de su u...
< >