Немного новостей с рынка продажи эксплойтов
Для введения в экскурс дела — существуют различные биржи эксплойтов, и на одной из них — 1337day.com, появился эксплойт со следующим названием — "Facebook Send Messages From Anyone 0day" с ценой в $600…
Итак, начало истории. В очередной раз проверяя 1337day.com и завидев эксплойт стало сразу интересно, так как подобные случаи (эксплойты для сервисов, где есть bugbounty) бывают редко. Открыв эксплойт, видим цену в $600 и следующее описание:
This Exploit allowed you to send messages from any person to any one on facebook
Первым делом вбиваем в гугл и находим видео-демо эксплойта, загруженное несколько часов назад:
Просмотрев которое можно понять схему работы эксплойта за считанные секунды, зная работу facebook. Facebook выдает каждому юзеру почту, вида username@facebook.com. username — публичен, идет после facebook.com/username. Это первый момент.
Второй — если отправить письмо на почту username@facebook.com — сообщение попадет в общий чат (где обычные сообщения). Ну а если письмо с почты, на которую зарегистрирован какой-либо аккаунт — мы получим письмо от этого юзера. И момент, если к аккаунту привязаны еще емейлы, то можно использовать любой из них. Т.е. зная почту, на которую зарегистрирован пользователь, мы можем слать от него сообщения. Но есть 2 отличия:
- У юзера, от кого мы пишем сообщение — его не будет во входящих
- Сообщение будет помечено очень мелкой иконкой
Готовим атаку
Чтобы повторить эксплойт достаточно поднять свой smtp сервер (на примере debian)
sudo apt-get postfix
и поставить sendemail
apt-get install sendemail
Дальше всего одна строчка:
sendemail -f from@gmail.com -t username@facebook.com -u subj -m message
Works is done 😉
Конечно же, мы решили об этом сначала сообщить (в ФБ). Но некоторый поиск дал еще информацию, что это уже очень старая «фича», и подобный сплойт до сих пор находится в продаже на этом же ресурсе, но за $700
1337day.com/exploit/description/20296
Где в комментах можно увидеть, что люди это используют свыше 2х лет.
Всем пятницы и хороших выходных 😉
ссылка на оригинал статьи http://habrahabr.ru/company/dsec/blog/191148/
Добавить комментарий