El 14 de noviembre de 2014, los investigadores en seguridad de Kaspersky Lab alertaron a LinkedIn, la red social profesional más grande del mundo, sobre un problema de seguridad que podría poner en riesgo a sus más de 360 millones de usuarios. Puesto que LinkedIn atrae a tantos profesionales y empresarios, una falla de seguridad como esta podría permitirles a los atacantes ejecutar de forma eficiente campañas spear-phishing, robar credenciales y potencialmente controlar a distancia a sus víctimas seleccionadas sin tener que recurrir a la ingeniería social.
Linkedin se comprometió a remediar esta amenaza y ha publicado una reparación para la vulnerabilidad en su plataforma.
“Aunque deben restringirse algunos contenidos HTML, ya hemos publicado una reparación y hemos agradecido a los expertos de Kaspersky por su colaboración; resulta improbable ejecutar un exploit en las modernas plataformas de correo electrónico”. señala David Cintz, Gerente Senior de Programas Técnicos del ecosistema de seguridad de Linkedin.
Los investigadores encontraron esta vulnerabilidad después de notar diferencias cuando publicaban un mensaje desde diferentes dispositivos en varias publicaciones. La segunda llamada de atención fue una falla en el analizador sintáctico secundario de la plataforma que interpretaba una CRLF (entrada de tecla) como una etiqueta HTML <br />, y la añadía a la publicación como texto. Ninguna tenía conexión con la otra, pero ambas planteaban importantes interrogantes.
Si bien puede sonar irrelevante, los ciberpiratas están atentos a pequeñas fallas como esta. Al observar ambos comportamientos, los investigadores estaban convencidos de que algo andaba mal. Al parecer, nadie lo había notado. Se requería de la ayuda de un experto para armar las piezas del rompecabezas.
Pulsación de la tecla INTRO pulsada que se interpreta como el elemento <br /> en texto simple
El envío de múltiples publicaciones desde un navegador web logró imitar un comportamiento parcial de las diferencias en el escaping (secuencia de escape), pero no había pistas sobre cómo evadir el motor anti-XSS (Cross Site Scripting) para generar un ataque.
Investigaciones posteriores condujeron a un importante descubrimiento. Había una razón por la que la salida desde un dispositivo no se cifraba de la misma manera que la otra.
El envío de comentarios con etiquetas HTML desde una plataforma web generaba %3C como el carácter “menos que”, mientras que el mismo envío desde un dispositivo móvil generaba <. Nuevas inspecciones demostraron la presencia de dos plataformas distintas. Pero eso no significaba que la plataforma web fuese vulnerable. ¿O sí?
Otro aspecto interesante era que cada comentario de una publicación se envía por una plataforma de correo a los usuarios que participaron comentando. Las diferencias en el cuerpo de ese mensaje de correo confirmaron nuestras sospechas. Las siguientes capturas de pantalla ilustran ambos escenarios:
Comentario publicado desde el sitio web con escaping adecuado
Un comentario publicado desde una aplicación móvil sin escaping
Esto prueba que existen dos plataformas de correo diferentes y que las notificaciones desde dispositivos móviles pueden llevar cargas maliciosas sin necesidad de validar las introducciones de los usuarios.
Mensaje de correo firmado que rebotó desde LinkedIn sin importar su contenido
Las plataformas sociales son un blanco muy atractivo para los ciberpiratas. Las compañías en general suelen ser atacadas a diario por hackers legítimos en su intento de obtener su parte de la seguridad en Internet. Pero, ¿qué pasa si un hacker ilegítimo encuentra una falla?
El siguiente cuadro nos permite evaluar la forma en que este tipo de problemas de seguridad pueden ayudarle a un atacante a encontrar la manera de distribuir sus programas maliciosos camuflados como notificaciones legítimas de plataformas sociales.
Ciclo genérico de propagación de programas maliciosos
Los autores de programas maliciosos invierten mucho tiempo en alcanzar cada uno de estos hitos. Cada paso tiene un gran impacto en el resultado final: una programación sólida que puede adaptarse a múltiples sistemas/dispositivos, empacadores y carpetas, ofuscación y codificación, combinando el reconocimiento con el método adecuado de propagación y encontrando la vulnerabilidad día-cero o el exploit adecuado para controlar el sistema a distancia.
Para economizar su valioso tiempo, los atacantes encuentran formas astutas de acercarse a los autores y comprarles lo que requieren para cada hito, como si se tratara de artículos en un supermercado.
La lista de sus adquisiciones para este tipo de ataques puede llegar a ser muy costosa. Una plataforma social para profesionales que brinda información sobre millones de sus usuarios, sus títulos, colegas, historial profesional, y otros datos, puede ser de gran valor. No es difícil apuntar a un usuario en particular, queda nada más que a un comentario de distancia.
Elige tu víctima
La inyección de un comentario malicioso en el hilo de comentarios de una publicación enviará automáticamente una notificación al correo del usuario dueño de la publicación, cualquiera que sea su proveedor de correo o la jerarquía de conexión entre la víctima y el hacker.
Aunque parezca que el servidor de la aplicación ha hecho el “escaping” de los caracteres peligrosos, sólo se ha hecho el “escaping” de la carga en la aplicación principal. La plantilla del mensaje de correo se envía tal cual.
Inyección de carga maliciosa mediante la aplicación móvil
En el peor de los casos, si un proveedor de correo no logra hacer adecuadamente el “escaping” del contenido de un mensaje entrante, el atacante puede empeorar el problema lanzando un ataque para inyectar un JavaScript malicioso, también conocido como Stored XSS.
Otro escenario puede involucrar el uso de un formulario HTML asociado para recopilar información sobre la víctima o desviarla a un sitio desde donde se descargará un ejecutable malicioso.
Ejemplo de escenario: robo de credenciales
En noviembre, los investigadores de Kaspersky Lab alertaron a los responsables de seguridad de LinkedIn sobre este problema. Repararon la plataforma y solucionaron el problema.
Cómo evitar convertirte en víctima:
- Usa una avanzada solución de seguridad para navegar en Internet, que sea capaz de filtrar desvíos peligrosos hacia servidores que contienen programas maliciosos, phishing y otros. Si ya cuentas con una solución, mantenla siempre actualizada.
- Ten cuidado al abrir un adjunto o activar un enlace incluidos en un mensaje de correo, incluso de un remitente confiable, pues podrían contener una carga maliciosa. Debes desconfiar antes de abrirlos.
- No te inscribas en plataformas sociales con tu dirección de correo corporativa.
Agradecimientos:
Jonathan Jaquez – CEO, Mageni.net
David Cintz – Sr. Technical Program Manager, Linkedin
Investigadores de Kaspersky alertan a Linkedin sobre potenciales ataques spear-phishing