Hacker με XSS στο εσωτερικό δίκτυο της Google

Ένας νεαρός hacker από την Τσεχία ανακάλυψε ένα κενό ασφαλείας σε μία από τις εφαρμογές υποστήριξης της Google.

Αν το εκμεταλλευόταν κάποιος με κακόβουλη πρόθεση το σφάλμα θα μπορούσε να επιτρέψει σε hackers να υποκλέψουν cookies των υπαλλήλων της Google για εσωτερικές εφαρμογές και να καταλάβουν τους λογαριασμούς τους. Μετά θα μπορούσαν να ξεκινήσουν εξαιρετικά πειστικές απόπειρες ηλεκτρονικού ψαρέματος, που θα τους παραχωρούσε πρόσβαση σε πολλά άλλα τμήματα του εσωτερικού δικτύου της Google.

Το κενό ασφαλείας ανακαλύφθηκε από τον ερευνητή Thomas Orlita τον Φεβρουάριο του 2019. Διορθώθηκε στα μέσα Απριλίου, αλλά δημοσιεύτηκε μόλις τώρα.

Η ευπάθεια ήταν ένα cross-site scripting (XSS), και βρέθηκε στην πύλη υποβολής τιμολογίων της Google, ένα δημόσιο domain που ανακατευθύνει η Google τους επιχειρηματικούς χρήστες της πλατφόρμας για την υποβολή τιμολογίων.

Οι περισσότερες ευπάθειες cross-site scripting (XSS) δεν θεωρούνται και τόσο επικίνδυνες αλλά υπάρχουν περιπτώσεις που μπορούν να οδηγήσουν σε πολύ σοβαρά προβλήματα.

Μία από αυτές τις περιπτώσεις ήταν η ανακάλυψη του Orlita. Ο ερευνητής είπε ότι κάποιος κακόβουλος χρήστης θα μπορούσε να ανεβάσει δικά του αρχεία στο Google Invoice Submission Portal, μέσω του Upload Invoice.hacker

  Τρέξτε ενάντια στον εαυτό σας με τα Google Glass

Χρησιμοποιώντας κάποιο proxy ο εισβολέας θα μπορούσε να παρεμποδίσει το Google Invoice Submission Portal να αλλάξει το PDF έγγραφο (μετά τη διεξαγωγή της διαδικασίας υποβολής και επικύρωσης της φόρμας) και να το τροποποιήσει σε HTML, με κακόβουλο φορτίο XSS.

Το κακόβουλο έγγραφο θα αποθηκευόταν στο backend τιμολόγησης της Google και θα περίμενε κάποιον να το ανοίξει.

“Το XSS τρέχει σε ένα subdomain του googleplex.com και ενώ ο εργαζόμενος είναι συνδεδεμένος, ο εισβολέας μπορεί να έχει πρόσβαση στον πίνακα ελέγχου του subdomain από όπου είναι δυνατή η προβολή και διαχείριση των τιμολογίων”, ανέφερε ο Orlita στο ZDNet.

“Ανάλογα με τον τρόπο διαμόρφωσης των cookies στο googleplex.com, μπορεί να είναι δυνατή η πρόσβαση σε άλλες εσωτερικές εφαρμογές που φιλοξενούνται σε αυτό το domain”, πρόσθεσε ο ερευνητής.

Έτσι αφού οι περισσότερες εσωτερικές εφαρμογές της Google φιλοξενούνται στο domain googleplex.com, αυτό δίνει στους εισβολείς πάρα πολλές δυνατότητες.

Φυσικά, όπως και τα περισσότερα κενά ασφαλείας XSS, η επικινδυνότητα του σφάλματος εξαρτάται από το επίπεδο δεξιοτήτων του hacker, και την ικανότητά του να πραγματοποιήσει πιο σύνθετες επιθέσεις.

  Windows 10 θα επιτρέπουν την αφαίρεση ενσωματωμένων εφαρμογών

Για περισσότερες τεχνικές λεπτομέρειες μπορείτε να διαβάσετε την δημοσίευση του Orlita.

_________________

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Αφήστε μια απάντηση

Your email address will not be published.

54  +    =  60

Previous Story

Q4OS 3.7 Centaurus για χρήστες των Windows που δεν θέλουν Windows

Next Story

Facebook Αντικοινωνικοί κανονισμοί επικράτησης