HayCanal.com

Vulnerabilidad grave en Facebook Messenger

Vulnerabilidad grave en Facebook Messenger

Check Point acaba de desvelar los detalles de una nueva vulnerabilidad que afecta a Facebook Messenger, tanto en la aplicación online como en el móvil. Tras el aviso de Check Point, Facebook ha corregido inmediatamente la vulnerabilidad.

¿En qué consiste esta vulnerabilidad?

La vulnerabilidad permite a un usuario malintencionado cambiar el hilo de conversación en Facebook Online Chat y en la app Messenger. Si se abusa de esta vulnerabilidad, es posible modificar o eliminar cualquier mensaje, foto, archivo, enlace, etc.

Se informó de esta vulnerabilidad al equipo de seguridad de Facebook a principios de mes. La compañía respondió de forma inmediata y, tras trabajar de forma conjunta, la vulnerabilidad fue atajada.

¿Cuál es el daño potencial de esta vulnerabilidad?

Hay varios vectores de ataque potenciales que aprovechan esta vulnerabilidad y que podrían tener graves consecuencias, debido al papel fundamental de Facebook en la vida diaria de millones personas de todo el mundo. Muchos usuarios confían en Facebook para comunicaciones personales y profesionales, lo que hace que este tipo de vulnerabilidades sea muy atractiva para los cibercriminales.

Los usuarios maliciosos pueden manipular el historial de una conversación como parte de campañas fraudulentas. Un cibercriminal puede cambiar el historial de una conversación para manifestar que ha alcanzado un acuerdo falso con la víctima o, simplemente, para cambiar sus términos.

Los hackers pueden falsificar, alterar u ocultar información importante en las comunicaciones de chat de Facebook que podrían tener repercusiones legales. Estos chats pueden ser admitidos como prueba en investigaciones legales y esta vulnerabilidad abre la puerta a que un atacante pueda ocultar pruebas o incluso incriminar a una persona inocente.

La vulnerabilidad puede ser usada como un vehículo de transmisión de malware. Un atacante puede sustituir un enlace legítimo por uno malicioso y persuadir fácilmente al usuario para que lo abra. El atacante puede usar este método más tarde para actualizar el enlace y que éste contenga la última dirección C&C, y mantener el plan de phishing actualizado.

Al explotar esta vulnerabilidad, los cibercriminales podrían cambiar un chat completo sin que la víctima se dé cuenta. Y lo que es peor, el hacker podría implementar técnicas de automatización para aventajar las medidas de seguridad y poder alterar el chat a largo plazo”, comenta Oded Vanunu, director de Investigación de Vulnerabilidades de Productos en Check Point. “Aplaudimos a Facebook por haber respondido tan rápidamente y anteponer la seguridad de sus usuarios”.

Análisis técnico completo

Roman Zaikin, investigador de Check Point, descubrió la vulnerabilidad que permite a los hackers controlar el chat de Facebook y adaptar los mensajes a sus necesidades, incluyendo la posibilidad de eliminarlos o de reemplazar texto, enlaces o archivos.

Cada mensaje en las aplicaciones de chat de Facebook, tanto la online como la móvil, tiene su propio parámetro de identificación “message_id”. Un atacante puede almacenar esta petición que contiene el identificador, vía proxi, mientras lanza su ataque malicioso.

La imagen de abajo muestra una petición enviada a: www.facebook.com/ajax/mercury/send_message.php

a

Un atacante puede revelar el “message_id” al enviar una petición a: www.facebook.com/ajax/mercury/thread_info.php

b

Una vez que el atacante ha encontrado el identificador del mensaje, puede alterar el contenido del mismo y enviarlo a los servidores de Facebook. El contenido es cambiado sin que el usuario del PC o del dispositivo móvil se entere.

POC – abusando de la vulnerabilidad para una campaña de ransomware

Abusando del chat de Facebook o de Messenger, los atacantes pueden alterar conversaciones para varios propósitos. En esta sección, demostraremos un posible ataca que explota esta vulnerabilidad para distribuir ransomware.

Primero, el atacante envía un mensaje legítimo a un objetivo potencial:

c

El atacante alterará después del mensaje para que contenga un enlace o archivo infectado. Como se puede ver en la imagen de abajo, el mensaje “Hi” ha cambiado a “RANSOMWARE COMMAND AND CONTROL ROULETTE”.

d

Lo siguiente es que el hacker puede manipular el mismo vector de ataque para solucionar uno de los mayores retos del ransomware hoy en día: mantener activo un servidor de comando y control. Normalmente, las campañas de ransomware solo duran algunos días, ya que los enlaces infectados y las direcciones C&C se descubren y se bloquean, forzando al atacante a terminar su actividad y a comenzar desde el principio. De todas formas, con esta vulnerabilidad, el hacker podría implementar técnicas de automatización  para adelantarse continuamente a las medidas de seguridad cuando los servidores de comando y control sean reemplazados.

Seguridad Internet Vulnerabilidades

Otras noticias de interés

Noticias que marcan tendencia en el sector IT

1. Fernando Feliu desgrana las ventajas de la plataforma abierta de Virtual Cable

2. Extreme Networks celebra su conferencia de usuarios centrada en la IA aplicada al networking

3. Aslan entrega sus galardones de 2024 a la AAPP

4. Elena Cerrada explica en qué consiste la gestión de identidades de SailPoint

5. TD SYNNEX Datech introduce las soluciones de gemelos digitales de Unity en España y Portugal

Últimas Noticias

1. El sector sanitario acelera su apuesta por el modelo híbrido multicloud

2. Ciberseguridad en empresas logísticas

3. La aplicación de tecnología en empresas no está siendo acompañada de formación en la misma

4. SAS impulsa su capacidad en IA generativa para acelerar la productividad de sus clientes

5. Vodafone amplía su huella de fibra de alta velocidad de 1Gbps en 559 municipios

Nombramientos