Vulnerabilidad grave en Facebook Messenger
Check Point acaba de desvelar los detalles de una nueva vulnerabilidad que afecta a Facebook Messenger, tanto en la aplicación online como en el móvil. Tras el aviso de Check Point, Facebook ha corregido inmediatamente la vulnerabilidad.
¿En qué consiste esta vulnerabilidad?
La vulnerabilidad permite a un usuario malintencionado cambiar el hilo de conversación en Facebook Online Chat y en la app Messenger. Si se abusa de esta vulnerabilidad, es posible modificar o eliminar cualquier mensaje, foto, archivo, enlace, etc.
Se informó de esta vulnerabilidad al equipo de seguridad de Facebook a principios de mes. La compañía respondió de forma inmediata y, tras trabajar de forma conjunta, la vulnerabilidad fue atajada.
¿Cuál es el daño potencial de esta vulnerabilidad?
Hay varios vectores de ataque potenciales que aprovechan esta vulnerabilidad y que podrían tener graves consecuencias, debido al papel fundamental de Facebook en la vida diaria de millones personas de todo el mundo. Muchos usuarios confían en Facebook para comunicaciones personales y profesionales, lo que hace que este tipo de vulnerabilidades sea muy atractiva para los cibercriminales.
Los usuarios maliciosos pueden manipular el historial de una conversación como parte de campañas fraudulentas. Un cibercriminal puede cambiar el historial de una conversación para manifestar que ha alcanzado un acuerdo falso con la víctima o, simplemente, para cambiar sus términos.
Los hackers pueden falsificar, alterar u ocultar información importante en las comunicaciones de chat de Facebook que podrían tener repercusiones legales. Estos chats pueden ser admitidos como prueba en investigaciones legales y esta vulnerabilidad abre la puerta a que un atacante pueda ocultar pruebas o incluso incriminar a una persona inocente.
La vulnerabilidad puede ser usada como un vehículo de transmisión de malware. Un atacante puede sustituir un enlace legítimo por uno malicioso y persuadir fácilmente al usuario para que lo abra. El atacante puede usar este método más tarde para actualizar el enlace y que éste contenga la última dirección C&C, y mantener el plan de phishing actualizado.
“Al explotar esta vulnerabilidad, los cibercriminales podrían cambiar un chat completo sin que la víctima se dé cuenta. Y lo que es peor, el hacker podría implementar técnicas de automatización para aventajar las medidas de seguridad y poder alterar el chat a largo plazo”, comenta Oded Vanunu, director de Investigación de Vulnerabilidades de Productos en Check Point. “Aplaudimos a Facebook por haber respondido tan rápidamente y anteponer la seguridad de sus usuarios”.
Análisis técnico completo
Roman Zaikin, investigador de Check Point, descubrió la vulnerabilidad que permite a los hackers controlar el chat de Facebook y adaptar los mensajes a sus necesidades, incluyendo la posibilidad de eliminarlos o de reemplazar texto, enlaces o archivos.
Cada mensaje en las aplicaciones de chat de Facebook, tanto la online como la móvil, tiene su propio parámetro de identificación “message_id”. Un atacante puede almacenar esta petición que contiene el identificador, vía proxi, mientras lanza su ataque malicioso.
La imagen de abajo muestra una petición enviada a: www.facebook.com/ajax/mercury/send_message.php
Un atacante puede revelar el “message_id” al enviar una petición a: www.facebook.com/ajax/mercury/thread_info.php
Una vez que el atacante ha encontrado el identificador del mensaje, puede alterar el contenido del mismo y enviarlo a los servidores de Facebook. El contenido es cambiado sin que el usuario del PC o del dispositivo móvil se entere.
POC – abusando de la vulnerabilidad para una campaña de ransomware
Abusando del chat de Facebook o de Messenger, los atacantes pueden alterar conversaciones para varios propósitos. En esta sección, demostraremos un posible ataca que explota esta vulnerabilidad para distribuir ransomware.
Primero, el atacante envía un mensaje legítimo a un objetivo potencial:
El atacante alterará después del mensaje para que contenga un enlace o archivo infectado. Como se puede ver en la imagen de abajo, el mensaje “Hi” ha cambiado a “RANSOMWARE COMMAND AND CONTROL ROULETTE”.
Lo siguiente es que el hacker puede manipular el mismo vector de ataque para solucionar uno de los mayores retos del ransomware hoy en día: mantener activo un servidor de comando y control. Normalmente, las campañas de ransomware solo duran algunos días, ya que los enlaces infectados y las direcciones C&C se descubren y se bloquean, forzando al atacante a terminar su actividad y a comenzar desde el principio. De todas formas, con esta vulnerabilidad, el hacker podría implementar técnicas de automatización para adelantarse continuamente a las medidas de seguridad cuando los servidores de comando y control sean reemplazados.