200 milioni di utenti Passport NON più a rischio
Come ben sapete, ho scoperto una pericolosa falla di sicurezza nel portale MSN.fr, che si basa su Microsoft Passport per il log-in. Microsoft ha corretto il bug e ringrazia.
Durante il log-in, Microsoft Passport salva nel PC dell’utente un cookie per riconoscerlo nelle prossime entrate senza richiedere nuovamente l’identificazione. Il bug da me scoperto era di tipo XSS, e quindi permetteva l’inserimento di codice HTML/Javascript nella pagina.
Ho appena scambiato una chiacchierata via telefono con Mauro di Microsoft, che mi ha chiesto maggiori dettagli. Il bug è, fra l’altro, stato risolto e quindi posso adesso parlarne.
Il problema risiedeva nella sezioni “Loghi e Suonerie” di MSN.fr. In tale sezione venivano creati dei link di questo tipo:
http://www.msn.fr/mon_mobile/logocouleur/selection/default.asp?URL=INDIRIZZO
Il valore della variabile “URL” (?URL=) veniva inserito nel codice della pagina, più precisamente come indirizzo di un iframe, senza filtrare il codice Javascript-HTML.
Pertanto se passavo come variabile il valore “TESTO” avrei avuto:
E nel codice HTML:
Beh, ma se passassi del codice Javascript? Pertanto ho creato il seguente URL per verificare se venisse filtrato il codice Javascript:
http://www.msn.fr/mon_mobile/logocouleur/selection/default.asp?URL="></iframe><script>alert("BUG")</script><"
Questo non avveniva, infatti, vedevo “il solito” alert.
Il codice HTML invece era diventato:
Infine ho creato un PoC (=un esempio di come sfruttare la falla) per rubare il cookie di un utente identificato sul portale di MSN. Il PoC consisteva in un semplice Javascript esterno che veniva incluso nel codice della pagina.
Tale Javascript effettuava un redirect ad una mia pagina passando, previa una variabile, il cookie dell’utente, che, infine, veniva inviato alla mia casella e-mail.
Non vi nascondo l’interesse di Microsoft per la correzione del bug, che già dopo la segnalazione ha ricorso ai ripari pubblicando questa pagina e correggendo definitivamente il bug ieri, 29 Giugno 05:
Mauro di Microsoft è rimasto molto stupido della mia età (15 anni), pensando che ne avessi 25 ;-) Beh, accanto ai ringraziamenti qualche software free di Microsoft non mi farebbe male :P
Con la stessa chiamata, inoltre ho segnalato altri tre bug sempre da me scoperti sul sito .fr
segnalato su http://www.helpinweb.it
Bocciati al primo esame di univesrita’ eh? invidiosi della cultura altrui :)
complimenti invece, io a 15 anni non sapevo neanche scrivere una riga in C =) (poi a 16 ho recuperato con buone dosi di assembler :D )
continua cosi’ e farai strada…anzi, imo la stai gia’ facendo, secondo me non fai in tempo a finire le superiori che ti pioveranno richieste di lavoro ^_^ (ma fai l’universita’ che serve, al contrario di quello che sicuramente pensano i caproni qui sopra!)
Ehehehe… qualche software “free” di Microsoft?
LOL! Salvatore… purtroppo “Microsoft” e “free” sono due parole che non possono stare vicine… :D
Comunque complimenti per il lavoro fatto! ;)
…essendo così bravo non dovresti chiedere software free alla microsoft …perke sai meglio di me,l’inutilità di tali software! Cmq complimenti per il tuo animo da HACKER…
poichè (mi riferisco ai vari giornali e non solo ) l’hacker è colui che scopre per aiutare , e non per distruggere !
Non mi sembra “carino” eliminare i commenti di chi sosteneva (mi sembra fosse un certo nazionlinux) che tu avessi letto in rete di questo bug e che ti fossi limitato solamente a tradurlo da una famosa pagina in inglese.
Non era forse meglio rispondere a quel commento ed eventualmente, se veniva affermato il falso, smentire con prove?
Se posso aggiungere qualcosa, anche il “tuo” bug nel file host non è una novità ed anche in questo caso, in rete, è possibile leggere qualcosa di molto simile.
Ciao Ale,
ho eliminato il commento di “nazionelinux” in quanto diffamatorio nei miei confronti. La questione è semplice: i bug non posso inventarli. Ci sono altre persone che scoprono bug (in altre sezioni di Passport-Msn) che hanno lo stesso effetto. Non è la prima volta!
Cioè io ho scoperto un bug in MSN.fr che permette di falsificare il cookie di Passport. Un’altra persona può averlo scoperto in Hotmail, anche se l’effetto è lo stesso. Ma accusarmi di tradurre articoli è da bestioni, quando la scoperta è stata da me condotta, ma è simile a quella di altri. Ecco il perché della eliminazione.
Salvatore Aranzulla
Ciao Salvatore, è proprio quello che stavo dicendo. Mi spiego: eliminando il suo intervento potresti aver dato adito ad interpretazioni del tipo “salvatore elimina il post in quanto scomodo”.
Avresti potuto (questo vuole solo essere un mio parere), tranquillamente, rispondere per le rime a quell’intervento. Dimostrando così che non avevi nulla da nascondere.
Con questo mio intervento non voglio, e non intendevo nemmeno con il precedente, offenderti in nessun modo. Se ho datto questa impressione chiedo scusa.
ciao
Visto che sono completamente ignorante in materia … potresti spiegarmi meglio cosa è il “PoC”.
Non riesco a capire come si sfrutta la possibilità di iniettare js in una pagina a danno di un utente terzo .
Visto che il bug è stato corretto perche non ci fai vedere l?esempio fino in fondo.
Grazie.
P.S. = Una domanda: ma questi bug li trovi per caso o per passione ne vai in cerca.
Ciao
Ciao il PoC (Proof of Concept) è una dimostrazione innocua della vulnerabilità trovata.
Visto che il bug è stato corretto perche non ci fai vedere l?esempio fino in fondo.
Quoto tony, facci vedere quest’applicazione pratica DA TE coddata, DA TE, Salvatore Aranzulla
ps: un consiglio: sii più modesto, hai 14 anni e non sarebbe carino tirarsi contro tutta la povera gente che fa quello che deve fare ma non ne fa ampia pubblicità in giro
spero non cancellerai questo reply DA ME scritto
Già… concordo con LozioSam , vorrei vedere l’ esempio intero….
ok spero .. lo inserirai….
Scusa la domanda, ma un eventuale malintenzionato come avrebbe potuto “iniettare” il JS nel MIO browser??
Il grande Aranzulla, caspita!!!