Seznam umožňoval únos sezení KE STAŽENÍ

Email Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.

 

Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru: 

„ke krádeži cookies stačilo pouze to, aby byla oběť přihlášena k e-mailu na Seznam.cz a otevřela libovolnou stránku, ve které byl útočníkův kód. Žádná další interakce od uživatele nebyla nutná.“

Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Útočník bude úspěšnější, pokud využije pokročilejších metod sociálního inženýrství nebo využije nějaké zranitelnosti na nejvíce navštěvovaných stránkách.

Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně: 

„Uživateli byla zobrazena stránka „Not Found“ se skrytým iframem, který načítal stránku na Swebu. Stačilo tedy, aby byla oběť přihlášená k e-mailu a otevřela odkaz, kde se načítal útočníkův kód (iframe na Sweb). Ihned po navštívení takovéto stránky došlo ke krádeži cookies. “

Další možné způsoby útoku

Použitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:

• zneužití zranitelnosti na jiném webu - Útočník by využil zranitelnosti na jiné, často navštěvované webové stránce (známý e-shop, zpravodajský web a jiné). Například zneužitím zranitelnosti Stored XSS by dosáhl toho, že by oběť nemusela provést žádnou interakci. Pouhým prohlížení takového webu by mohlo dojít na pozadí k útoku, tedy ke krádeži cookies na Seznamu.
• odkaz v emailu - Útočník mohl napsat zprávu, která by obsahovala odkaz na stránku se škodlivým kódem. V tomto případě by měl útočník jistotu, že je uživatel přihlášen. E-mail musel být vhodně napsán, aby na odkaz oběť klikla.
• odkaz na sociálních sítích - Sociální sítě nejsou v dnešní době hrozbou jen z důvodu prokrastinace, ale také velkou bezpečnostní hrozbou. Na Twitteru se často využívají zkracovače typu bit.ly nebo zkracovač samotného Twitteru (https://t.co). Problémem je, že běžný uživatel si často neověřuje, kam daný odkaz ve skutečnosti vede. Stačilo jedno kliknutí na neznámý odkaz ze zkracovače a mohlo dojít ke krádeži cookies.

Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka.

Doporučení pro uživatele

Bezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:

• odhlásit se z aktivní relace;
• smazat veškerá aktivní přihlášení na https://profil.seznam.cz/sessions;
• zkontrolovat nastavení e-mailu a vymazat veškeré podezřelé hodnoty - především:
  • sdílení schránky (https://email.seznam.cz/settings#/multiuser) - v případě, že si útočník přidal svůj e-mail do Sdílení schránky, tak má do vaší e-mailové schránky stále přístup, a to i po smazání všech relací;
  • pravidla (https://email.seznam.cz/settings#/rules) - u pravidel by neměl přístup do vaší schránky, ale v tom nejhorším případě by mu byla v kopii přeposílána veškerá vaše příchozí pošta. Případně mohl nastavit pravidlo, že zapomenuté heslo z jiné služby bude rovnou přeposláno na jiný e-mail.

Jak rychle probíhá oprava zranitelnosti?

Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:

• 09. 6. 2020 15:22 Nahlášená zranitelnost; 
• 10. 6. 2020 11:31 Potvrzeno přijetí; 
• 10. 6. 2020 17:32 Nasazen hotfix - doména i subdoména sweb.cz byla zablokována pro CORS požadavky. Stále bylo riziko v případě nalezení XSS na stránkách Seznamu; 
• 17. 6. 2020 Nahlášená zranitelnost Reflected XSS na Seznam subdoméně (video, img); 
• 18. 6. 2020 Opravena zranitelnost Reflected XSS; 
• 14. 9. 2020 K datu již byla zranitelnost z článku opravena. Schváleno zveřejnění zranitelnosti.

Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení.

Zdroje

• MarekToth.cz

 

Daniel Beránek, 01.12.2020 12:07

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

	Worok jde po datech vysoce postavených v Asii ESET odhalil novou špionážní skupinu Worok. Ta se zdá stojí za útoky na přední společnosti v oblastech telekomunikace, bankovnictví, námořnictva, energetiky, obrany, ale i na vládní organizace. Cíle útoků se nacházejí...
	Tiskárny HP jsou děravé HP varuje před riziky bezpečnostních děr, které se objevily ve firmwaru tiskáren HP. Chyby mohou vyústit v přetečení vyrovnávací paměti a vzdálené spuštění kódu. Což útočníkům umožňuje infiltraci vlastního...
	Podzimní novinky Zoner Photo Studia X: Více místa pro fotky i nativní podpora RAWů Podzimní aktualizace Zoner Photo Studia X přináší změny hluboko uvnitř programu i v uživatelském rozhraní. Univerzální software pro úpravu fotek a videí nově nativně podporuje RAW formáty mnoha rozšířených fotoaparátů nebo...
	Náklaďáky řídí umělá inteligence | Solvertech Za volantem náklaďáku ještě stále musí sedět živý chlap (nebo dáma), stále víc jím ale točí umělá inteligence. V podmínkách ropného šoku a trvalé dopravní kalamity přestává na...