Seznam umožňoval únos sezení KE STAŽENÍ

Email Seznam trpěl závažnou bezpečnostní chybou. Skrz krádež cookies se dalo unést uživatelské sezení a získat tak přístup do mailu oběti. Vše odhalil Marek Tóth, který se věnuje odhalování zranitelností informačních systémů profesionálně coby penetrační tester firmy Avast.

 

Marek Tóth, etický hacker a penetrační tester Avastu, si zranitelnosti všiml při analýze komunikace mezi webovými aplikacemi provozovanými Seznamem. Její zákeřnost spočívala v jednoduchosti útočného vektoru: 

„ke krádeži cookies stačilo pouze to, aby byla oběť přihlášena k e-mailu na Seznam.cz a otevřela libovolnou stránku, ve které byl útočníkův kód. Žádná další interakce od uživatele nebyla nutná.“

Tóth rovnou varuje uživatele domněle vyspělé, že nemusí jít vždy o klikání na URL typu https://klikni-a-vyhraj.cz: Útočník bude úspěšnější, pokud využije pokročilejších metod sociálního inženýrství nebo využije nějaké zranitelnosti na nejvíce navštěvovaných stránkách.

Ale k chybě samé. Při přechodu mezi službami Seznamu se přenášela přihlašovací cookies. V řetězci jejich validace ovšem byly díry, které vedly k tomu, že stejnou cestou ukrást přihlašovací cookies uživatele, a tak se dostat do seance jeho přihlášení k emailu. Tóth zjištěnou díru využil v rámci etického hackerství k napsání k útočnému exploitu. Útok probíhal následovně: 

„Uživateli byla zobrazena stránka „Not Found“ se skrytým iframem, který načítal stránku na Swebu. Stačilo tedy, aby byla oběť přihlášená k e-mailu a otevřela odkaz, kde se načítal útočníkův kód (iframe na Sweb). Ihned po navštívení takovéto stránky došlo ke krádeži cookies. “

Další možné způsoby útoku

Použitý exploit byl vysoce sofistikovaný. Tóth přiznává, že stejnou zranitelnost by šlo zneužít i jinými a snazšími cestami:

• zneužití zranitelnosti na jiném webu - Útočník by využil zranitelnosti na jiné, často navštěvované webové stránce (známý e-shop, zpravodajský web a jiné). Například zneužitím zranitelnosti Stored XSS by dosáhl toho, že by oběť nemusela provést žádnou interakci. Pouhým prohlížení takového webu by mohlo dojít na pozadí k útoku, tedy ke krádeži cookies na Seznamu.
• odkaz v emailu - Útočník mohl napsat zprávu, která by obsahovala odkaz na stránku se škodlivým kódem. V tomto případě by měl útočník jistotu, že je uživatel přihlášen. E-mail musel být vhodně napsán, aby na odkaz oběť klikla.
• odkaz na sociálních sítích - Sociální sítě nejsou v dnešní době hrozbou jen z důvodu prokrastinace, ale také velkou bezpečnostní hrozbou. Na Twitteru se často využívají zkracovače typu bit.ly nebo zkracovač samotného Twitteru (https://t.co). Problémem je, že běžný uživatel si často neověřuje, kam daný odkaz ve skutečnosti vede. Stačilo jedno kliknutí na neznámý odkaz ze zkracovače a mohlo dojít ke krádeži cookies.

Všemi způsoby útoku se dalo ukrást sezení nejen pro email Seznamu, ale i pro další uživatelské služby - jmenovitě: Seznam Email, Email Profi, Lide.cz, Firmy.cz, Sreality.cz, Sbazar.cz. Naopak se krádež cookie nedala použít pro profesionální služby, které vyžadují přihlášení ke Klientské zóně, jako jsou Sklik a Seznam Peněženka.

Doporučení pro uživatele

Bezpečnostní doporučení pro zamezení škodám plynoucím z potenciálního napadení jmenuje sám Tóth:

• odhlásit se z aktivní relace;
• smazat veškerá aktivní přihlášení na https://profil.seznam.cz/sessions;
• zkontrolovat nastavení e-mailu a vymazat veškeré podezřelé hodnoty - především:
  • sdílení schránky (https://email.seznam.cz/settings#/multiuser) - v případě, že si útočník přidal svůj e-mail do Sdílení schránky, tak má do vaší e-mailové schránky stále přístup, a to i po smazání všech relací;
  • pravidla (https://email.seznam.cz/settings#/rules) - u pravidel by neměl přístup do vaší schránky, ale v tom nejhorším případě by mu byla v kopii přeposílána veškerá vaše příchozí pošta. Případně mohl nastavit pravidlo, že zapomenuté heslo z jiné služby bude rovnou přeposláno na jiný e-mail.

Jak rychle probíhá oprava zranitelnosti?

Jak rychle reagoval Seznam na bezpečnostní incident, ilustruje Tóth:

• 09. 6. 2020 15:22 Nahlášená zranitelnost; 
• 10. 6. 2020 11:31 Potvrzeno přijetí; 
• 10. 6. 2020 17:32 Nasazen hotfix - doména i subdoména sweb.cz byla zablokována pro CORS požadavky. Stále bylo riziko v případě nalezení XSS na stránkách Seznamu; 
• 17. 6. 2020 Nahlášená zranitelnost Reflected XSS na Seznam subdoméně (video, img); 
• 18. 6. 2020 Opravena zranitelnost Reflected XSS; 
• 14. 9. 2020 K datu již byla zranitelnost z článku opravena. Schváleno zveřejnění zranitelnosti.

Zákeřnost tohoto útoku je o to větší, že probíhá na úrovni síťové komunikace. Neochrání vás před ní antivirový program, silné heslo napadené služby, ani dvoufázové ověření. A netýká se jen Seznamu. Stejnými způsoby lze napadnout všechny komplexní webové služby - a v tomto případě zvláště ty, které nabízejí možnost tzv. jednotného přihlášení.

Zdroje

• MarekToth.cz

 

Daniel Beránek, 01.12.2020 12:07

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

	Microsoft odhalil, jak obejít kontrolu TPM 2.0 Microsoft opět zpestřuje příchod nového operačního systému Windows 11. Po obecně rozšířené nevůli vůči požadavku šifrovacího procesoru TPM ve verzi 2.0, se rozpoutala kritika Microsoftu. Navíc následovaly neoficiální postupy, jak obejít...
	Antiviry velkých jmen jsou připraveny na Windows 11 Povyšování Windows se opakovaně potýká s rozličnými problémy. I při minoritních změnách se aktualizace dostávají do problémů s kompatibilitou - a ty se často týkají programů, jejichž dlouhé prsty sahají až do jádra...
	Chrome 94: nové centrum sdílení a kontroverzní Idle Detection API Google Chrome se už po necelých čtyřech týdnech hlásí s novou verzí číslo 94. Je to tak, protože prohlížeč přešel z šestitýdenního vývojového cyklu na cyklus čtyřtýdenní. A to především v rámci...
	Microsoft bude varovat před instalací Windows 11 na nepodporovaném hardwaru Microsoft se neustále zamotává ve svých prohlášeních ohledně Windows 11, ne úplně podporovaného hardwaru, možnosti instalace nového systému a možnostech příjmu následujících aktualizací a podpory vůbec. Nově nechává...