Zou je het geloven als wij u dat te klikken verteld op een enkele schadelijke koppeling kan uw Facebook-account te hacken? Het scenario is heel goed mogelijk als gevolg van een recent ontdekt kritische cross-site request vervalsing (CSRF) kwetsbaarheid. Door de Facebook CSRF-fout kunnen aanvallers accounts kapen door gerichte gebruikers eenvoudigweg te verleiden om op de speciaal vervaardigde URL te klikken.
Facebook CSRF-kwetsbaarheid uitgelegd
De kwetsbaarheid werd ontdekt door een onderzoeker online bekend staat als Samm0uda. Blijkbaar, Hij merkte een gebrekkig eindpunt dat had kunnen worden gecompromitteerd om CSRF beveiligingen te omzeilen die leiden tot overnames verantwoording.
Volgens de verslag onderzoeker en demonstratie:
De kwetsbare eindpunt https://www.facebook.com/comet/dialog_DONOTUSE/?url = XXXX waarbij XXXX het eindpunt parameters wanneer de POST verzoek zal worden (de CSRF token fb_dtsg automatisch wordt toegevoegd aan het aanvraaginhoud).
Zo kreeg hij veel acties maken, in het geval dat het slachtoffer een bezoek aan een kwaadwillig vervaardigde URL voor het doel.
Voor de rekening overname met succes plaatsvinden, een nieuw e-mailadres of telefoonnummer moet worden toegevoegd aan de rekening van het slachtoffer.
Het probleem hier is dat het slachtoffer twee afzonderlijke URL's te bezoeken – de ene naar de e-mail / telefoonnummer toe te voegen, en één om het te bevestigen, omdat de “normale” eindpunten gebruikt om e-mails of telefoonnummers toevoegen beschikken niet over een “next” parameter om de gebruiker omgeleid na een succesvolle aanvraag, de onderzoeker schreef.
Om dit obstakel te omzeilen, de onderzoeker moest eindpunten waar de “next” parameter aanwezig was te vinden, zodat de rekening overname gebeurt met een enkele URL.
Opgemerkt moet worden dat wanneer de toegang tot de gebruiker authenticatie tokens wordt verkregen, een-aanvaller gecontroleerde e-mailadres wordt toegevoegd aan de rekening. Dit maakt verdere aanvallers via accounts over te nemen door simpelweg het resetten van wachtwoorden en het blokkeren van de gebruiker uit zijn / haar rekening.
Alles bij elkaar, De door de onderzoeker gepresenteerde Facebook CSRF-kwetsbaarheid vormt een volledige exploit met één klik waarmee de aanvaller gemakkelijk accounts kan kapen. Echter, dit kan worden voorkomen met behulp van twee-factor authenticatie toegevoegd aan de Facebook-account. 2FA zou voorkomen dat een bedreiging acteur uit te loggen op de rekeningen van de slachtoffers, tenzij aanvallers kunnen de 6-cijferige code die naar de mobiele inrichting van de gebruiker wordt verzonden verifiëren.
Opgemerkt dient te worden dat de aanvallers nog steeds in staat zijn om het beveiligingslek te misbruiken en het uitvoeren van diverse kwaadaardige acties, zoals het veranderen van de gebruiker profielfoto of het plaatsen op hun timeline.
De kwetsbaarheid is gemeld dat Facebook in januari 26, en was gericht op januari 31. De Samm0uda onderzoeker kreeg $25,000 als beloning via Facebook bug bounty-programma.
Facebook heeft verspild ongeveer $4.3 miljoen op meer dan 2,400 bug reports, verstuurd door 800 onderzoekers in de jaren 2011-2016. Het grootste deel van de kwetsbaarheden gerapporteerd via het programma in dit programma waren XSS (cross-site scripting) bugs, CSRF bugs (zoals die beschreven in het artikel), en Business logica gebreken.