Il celebre social network e la diffusa piattaforma per la messagistica e la posta elettronica si trovano in queste ore a dover fare i conti con un problema che le accomuna. Entrambi i siti permettono di allegare uno o più file ad un messaggio, inibendo per ovvi motivi l’upload di file eseguibili che, come ben noto, potrebbero essere facilmente abusati per diffondere malware di vario genere. Ebbene, in entrambe i casi, il meccanismo di filtering implementato può essere aggirato.
Nel caso di Facebook, come indicato da Nathan Power (SecurityPentest.com: Facebook Attach EXE Vulnerability), era sufficiente intercettare la richiesta POST trasmessa dal browser e modificarla nel seguente modo:
Content-Disposition: form-data; name="attachment"; filename="putty.exe "
Content-Type: application/octet-stream
[datastream]
Semplicemente aggiungendo lo spazio dopo l’estensione del file era possibile allegare un eseguibile al messaggio.
In realtà, nel momento in cui si sta scrivendo, la falla sembra essere stata risolta dal team di Facebook. Noi di Segfault.it abbiamo però voluto scavare più a fondo nella faccenda, riscontrando che, attraverso una piccola modifica, è possibile raggiungere il medesimo risultato.
Content-Disposition: form-data; name="attachment"; filename="putty.exe ."
Content-Type: application/octet-stream
E’ sufficiente inserire un punto dopo lo spazio e si è ancora in grado di raggiungere il medesimo obiettivo.
Da sottolineare che, una volta scaricato, il file verrà riproposto all’utente normalmente come nomeallegato.exe.
In modo molto simile, nel caso di Gmail invece, gli allegati eseguibili possono essere aggiunti facendo sì che dopo il nome del file segua un punto:
Content-Disposition: attachment;
filename="trojan.exe."
Ciò è ancora una volta sufficiente a bypassare i controlli di sicurezza sulle estensioni.
Fonte:
Nel caso di Facebook, come indicato da Nathan Power (SecurityPentest.com: Facebook Attach EXE Vulnerability), era sufficiente intercettare la richiesta POST trasmessa dal browser e modificarla nel seguente modo:
Content-Disposition: form-data; name="attachment"; filename="putty.exe "
Content-Type: application/octet-stream
[datastream]
Semplicemente aggiungendo lo spazio dopo l’estensione del file era possibile allegare un eseguibile al messaggio.
In realtà, nel momento in cui si sta scrivendo, la falla sembra essere stata risolta dal team di Facebook. Noi di Segfault.it abbiamo però voluto scavare più a fondo nella faccenda, riscontrando che, attraverso una piccola modifica, è possibile raggiungere il medesimo risultato.
Content-Disposition: form-data; name="attachment"; filename="putty.exe ."
Content-Type: application/octet-stream
E’ sufficiente inserire un punto dopo lo spazio e si è ancora in grado di raggiungere il medesimo obiettivo.
Da sottolineare che, una volta scaricato, il file verrà riproposto all’utente normalmente come nomeallegato.exe.
In modo molto simile, nel caso di Gmail invece, gli allegati eseguibili possono essere aggiunti facendo sì che dopo il nome del file segua un punto:
Content-Disposition: attachment;
filename="trojan.exe."
Ciò è ancora una volta sufficiente a bypassare i controlli di sicurezza sulle estensioni.
Fonte:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Ultima modifica:
