Hace un par de horas acabo de encontrarme con un agujero bastante jodido en GMAIL que permite la inclusión remota de archivos, o como se llama comunmente, RFI.

Ya se sabe que el sistema de Google incluye otros documentos dentro de un iframe cuando solicitás una página de caché o cuando ves una vista previa de una imagen en el buscador de imágenes. Esta vez, la inclusión puede hacerse desde la pantalla de acceso a GMAIL. Con una conexión lo suficientemente lenta, podés comprobar mis dichos.

En el proceso de autenticación de usuario, GMAIL conecta a la base de datos ubicada en otro server de la misma empresa, ese proceso NO es mostrado al usuario, no obstante, en este momento, me encuentro en una PC provista de una conexión muy…PERO MUY LENTA [Gracias al Gobierno de mi provincia que no es capaz de pagar un buen ISP] y por supuesto, me deja ver cuando en el navegador, se ingresa una dirección como las que veremos a continuación:

La inclusión viene de dos maneras, esta:

Instancia 1: [Esta es la que aparece y desaparece sin que lo notes]
https://www.google.com/accounts/SSID?continue=https%3A%2F%2Fmail.google.com%2Fmail%2F%3FnsrXXXXXXXXXXX=mail&chtml=Logining

Y esta que sigue es donde chequea la cookie:

Instancia2:
https://www.google.com/accounts/CheckCookie?continue=https%3A%2F%2Fmail.google.com%2Fmail%2FXXXXXXXXXXXX=mail&chtml=LoginDoneHtml

[Las X son para censurar una porción bastante importante de la URL que hacen la diferencia entre un ataque exitoso y un absoluto fracaso]

Obviamente, la inclusión debe hacerse en la primera instancia, no en la segunda y luego de la directiva continue…PERO ATENCIÓN! La inclusión no es posible, a menos que tengas tu shell en un servidor https [con cifrado ssl] ya que, por algún buen invento de la gente de Google, el server GMAIL no permite que se ejecuten archivos desde un servidor que no posea ese cifrado, lo cual limita un poco al atacante [sobre todo si es un script kiddie hambriento de fama].

Mientras escribo esto, envío la notificación correspondiente a los administradores locales de GMAIL. Ni bien obtenga respuesta, voy a publicar los screenshots.

Pero…¿Cual es el alcance de este ataque?
Mas de desfigurar [defacear] la portada de GMAIL no pasa, claro que un script kiddie común puede tranquilamente subir un index que diga “Hacked By…” pero dudo mucho que pueda mas que eso, en cambio, un usuario avanzado, tranquilamente puede, con la shell instalada, subir un backdoor, rootear el server, descargar los hashes de usuarios, etc, etc…en fin, con un poco de imaginación supongo que pueden obtener acceso a varios servers de la cadena Google sin muchos problemas.

¿Cómo lo encontraste?
Aunque no lo crean [obviamente yo tampoco] fué a gracias a la lentitud de la conexión de mi trabajo =P Se me ocurrió ver que pasaba con un RFI común y no pasó nada, pero cuando ejecuté la shell desde mi server con cifrado SSL, se cambió el panorama.

En fin, veremos que me responden…

Saludos…!

Filed under: Seguridad, Vulnes