Se puede eludir la prohibición de envío de ejecutables a través de Facebook


Eludir la prohibición de envío de ejecutables a través de Facebook

El investigador de seguridad Nathan Power he descubierto un fallo en la subida de ficheros de Facebook que podría permitir el envío de cualquier tipo de fichero a través de los mensajes de la red social.

Facebook, a través de su servicio de mensajes entre sus usuarios, permite el envío de archivos adjuntos. Como es sabido, en ningún caso se permite que se intercambie un archivo ejecutable, por tanto la plataforma realiza ciertas comprobaciones sobre el fichero enviado
para evitar que se trate de un binario y no un ejecutable.

Según el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensión del nombre del fichero indicado. Este dato es enviado dentro de la petición POST en la que se manda el archivo, (concretamente en el atributo filename del
multipart/form-data). Al tratarse de una variable bajo el control del cliente, es fácilmente modificable teniendo acceso al tráfico HTTP justo antes de enviar con cualquier programa, o generando una petición personalizada. Tras varios intentos, el Nathan Power consiguió evadir el filtro de Facebook, y por tanto enviar el ejecutable, simplemente añadiendo un espacio al final del nombre del fichero. Pode concluir lo siguiente:


Primero:   El módulo, función o software encargado de tratar el nombre del fichero, no realiza un tratamiento adecuado del nombre del fichero. En este caso, eliminar los espacios al final del nombre del archivo.

Segundo:   Para analizar entre un archivo permitido o no, se comprueba la extensión del archivo, y se recurre a una lista negra de extensiones como .exe, 0 .bat etc., en lugar de una lista blanca donde incluir otras extenciones.

Tercer:   No se realiza comprobación del tipo del contenido real del archivo (por ejemplo los dos primeros bytes).

Cuarto:   Se comenten errores básicos y antiguos, que ya han solucionado desde hace tiempo otras aplicaciones que han tenido que lidiar mucho con los adjuntos como los clientes de correo.

Facebook fue avisado el día 30 de septiembre, pero no respondió hasta pasado casi un mes. En el momento de escribir esta noticia, todavía se podían enviar ejecutables y, como hemos comprobado, al descargar el archivo el espacio final del fichero desaparece, pero para cuando esto suceda el 

archivo adjunto ya haya infectado.

 Para mas información les dejo el siguiente link:
http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html

Publicado el octubre 31, 2011 en Seguridad. Añade a favoritos el enlace permanente. Deja un comentario.

Deja tu comentario:

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s