¿En qué consiste esta vulnerabilidad?
La vulnerabilidad permite a un usuario malintencionado cambiar el hilo de conversación en Facebook Online Chat y en la app Messenger. Si se abusa de esta vulnerabilidad, es posible modificar o eliminar cualquier mensaje, foto, archivo, enlace, etc.
Se informó de esta vulnerabilidad al equipo de seguridad de Facebook a principios de mes. La compañía respondió de forma inmediata y, tras trabajar de forma conjunta, la vulnerabilidad fue atajada.
¿Cuál es el daño potencial de esta vulnerabilidad?
Hay varios vectores de ataque potenciales que aprovechan esta vulnerabilidad y que podrían tener graves consecuencias, debido al papel fundamental de Facebook en la vida diaria de millones personas de todo el mundo. Muchos usuarios confían en Facebook para comunicaciones personales y profesionales, lo que hace que este tipo de vulnerabilidades sea muy atractiva para los cibercriminales.
· Los usuarios maliciosos pueden manipular el historial de una conversación como parte de campañas fraudulentas. Un cibercriminal puede cambiar el historial de una conversación para manifestar que ha alcanzado un acuerdo falso con la víctima o, simplemente, para cambiar sus términos.
· Los hackers pueden falsificar, alterar u ocultar información importante en las comunicaciones de chat de Facebook que podrían tener repercusiones legales. Estos chats pueden ser admitidos como prueba en investigaciones legales y esta vulnerabilidad abre la puerta a que un atacante pueda ocultar pruebas o incluso incriminar a una persona inocente.
· La vulnerabilidad puede ser usada como un vehículo de transmisión de malware. Un atacante puede sustituir un enlace legítimo por uno malicioso y persuadir fácilmente al usuario para que lo abra. El atacante puede usar este método más tarde para actualizar el enlace y que éste contenga la última dirección C&C, y mantener el plan de phishing actualizado.
“Al explotar esta vulnerabilidad, los cibercriminales podrían cambiar un chat completo sin que la víctima se dé cuenta. Y lo que es peor, el hacker podría implementar técnicas de automatización para aventajar las medidas de seguridad y poder alterar el chat a largo plazo”, comenta OdedVanunu, director de Investigación de Vulnerabilidades de Productos en Check Point. “Aplaudimos a Facebook por haber respondido tan rápidamente y anteponer la seguridad de sus usuarios”.
Análisis técnico completo
RomanZaikin, investigador de Check Point, descubrió la vulnerabilidad que permite a los hackers controlar el chat de Facebook y adaptar los mensajes a sus necesidades, incluyendo la posibilidad de eliminarlos o de reemplazar texto, enlaces o archivos.
Cada mensaje en las aplicaciones de chat de Facebook, tanto la online como la móvil, tiene su propio parámetro de identificación “message_id”. Un atacante puede almacenar esta petición que contiene el identificador, vía proxi, mientras lanza su ataque malicioso.
La imagen de abajo muestra una petición enviada a:www.facebook.com/ajax/mercury/send_message.php
Figura1: Enviando un mensaje
Un atacante puede revelar el “message_id” al enviar una petición a:www.facebook.com/ajax/mercury/thread_info.php
Figura2: revelando las IDs del mensaje
Una vez que el atacante ha encontrado el identificador del mensaje, puede alterar el contenido del mismo y enviarlo a los servidores de Facebook. El contenido es cambiado sin que el usuario del PC o del dispositivo móvil se entere.
POC – abusando de la vulnerabilidad para una campaña deransomware
Abusando del chat de Facebook o de Messenger, los atacantes pueden alterar conversaciones para varios propósitos. En esta sección, demostraremos un posible ataca que explota esta vulnerabilidad para distribuir ransomware.
Primero, el atacante envía un mensaje legítimo a un objetivo potencial:
Figura3: Contacto legítimo
El atacante alterará después del mensaje para que contenga un enlace o archivo infectado. Como se puede ver en la imagen de abajo, el mensaje “Hi” ha cambiado a “RANSOMWARE COMMAND AND CONTROL ROULETTE”.
Figura4: Alterando el mensaje
Lo siguiente es que el hacker puede manipular el mismo vector de ataque para solucionar uno de los mayores retos del ransomware hoy en día: mantener activo un servidor de comando y control. Normalmente, las campañas de ransomware solo duran algunos días, ya que los enlaces infectados y las direcciones C&C se descubren y se bloquean, forzando al atacante a terminar su actividad y a comenzar desde el principio. De todas formas, con esta vulnerabilidad, el hacker podría implementar técnicas de automatización para adelantarse continuamente a las medidas de seguridad cuando los servidores de comando y control sean reemplazados.