PoC lanzado para el defecto de Outlook que Microsoft

PoC lanzado para el defecto de Outlook que Microsoft parchó 6 meses después del descubrimiento


Microsoft lanzó esta semana una versión actualizada de su aplicación de Outlook para Android que corrige una grave vulnerabilidad de ejecución remota de código ( CVE-2019-1105 ) que afectó a más de 100 millones de usuarios.

Sin embargo, en ese momento, muy pocos detalles de la falla estaban disponibles en el aviso, que reveló que las versiones anteriores de la aplicación de correo electrónico contenían una falla de scripts entre sitios (XSS) que podía permitir a los atacantes ejecutar scripts en el contexto de el usuario actual simplemente enviando un correo electrónico especialmente diseñado a las víctimas.

Ahora, Bryan Applebyde F5 Networks, uno de los investigadores de seguridad que informaron este problema de forma independiente a Microsoft, publicó más detalles y prueba de concepto de la vulnerabilidad de Outlook que informó al gigante de la tecnología hace casi seis meses.

En una publicación de blog publicada el viernes, Appleby reveló que mientras intercambiaba un código JavaScript con sus amigos a través de un correo electrónico, descubrió accidentalmente un problema de scripts entre sitios (XSS) que podía permitir que un atacante incrustara un iframe en el correo electrónico.

En otras palabras, la vulnerabilidad reside en la forma en que el servidor de correo electrónico analiza las entidades HTML en los mensajes de correo electrónico.

Aunque el JavaScript que se ejecuta dentro de un iframe solo puede acceder al contenido dentro de él, Appleby descubrió que la ejecución del código JavaScript dentro del iframe inyectado puede permitir que el atacante lea contenido relacionado con la aplicación en el contexto del usuario de Outlook registrado, incluidas sus cookies, tokens y Incluso algunos contenidos de su bandeja de entrada de correo electrónico.
La vulnerabilidad, dijo Appleby, le permitió "robar datos de la aplicación, podría usarla para leer y extraer el HTML".

"Este tipo de vulnerabilidad podría ser explotada por un atacante que envía un correo electrónico con JavaScript. El servidor escapa de ese JavaScript y no lo ve porque está dentro de un iframe. Cuando se entrega, el cliente de correo deshace automáticamente el escape, y el JavaScript se ejecuta. en el dispositivo cliente. Bingo: ejecución remota de código ", explica Appleby.

"Este código puede hacer lo que desee el atacante, hasta e incluyendo el robo de información y / o el envío de datos. Un atacante puede enviarle un correo electrónico y, con solo leerlo, podría robar el contenido de su bandeja de entrada. Puede convertirse en una pieza de malware muy desagradable ".

Appleby informó responsablemente sus hallazgos a Microsoft el 10 de diciembre de 2018, y la compañía confirmó la vulnerabilidad el 26 de marzo de 2019 cuando compartió un PoC universal con el gigante de la tecnología.



Microsoft corrigió la vulnerabilidad y liberó una solución hace sólo 2 días - eso es casi 6 meses después de la divulgación inicial de vulnerabilidad. La compañía dice que actualmente no tiene conocimiento de ningún ataque en la naturaleza relacionado con este problema.

Además de Appleby, los investigadores de seguridad Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar también informaron el mismo problema a Microsoft por separado en los últimos meses.

Gaurav Kumar también compartió un video con The Hacker News que demuestra la vulnerabilidad en acción, como se muestra arriba.
Una vez más, si su dispositivo Android aún no se actualiza automáticamente, se le recomienda actualizar su aplicación Outlook desde Google Play Store manualmente.






Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta