Zohar Shachar, badacz bezpieczeństwa z Izraela, odkrył ciekawą lukę w kwietniu 2019 roku. Podatność kilka tygodni później została załatana, niemniej dopiero teraz ujawnił swoje odkrycie. Luka dotyczy zabezpieczń Cross-Site Scripting (XSS) w Mapach Google i odkrycie przyniosło Zoharowi Shacharowi 10 000 dolarów w bug bounty.
Usterka dotyczyła funkcji Google Maps, która pozwala użytkownikom tworzyć własne mapy. Mapy te można eksportować w różnych formatach, w tym w Keyhole Markup Language (KML), formacie używanym do wyświetlania danych geograficznych w Google Earth i innych podobnych aplikacjach.
Analiza odpowiedzi serwera podczas eksportowania mapy za pomocą KML ujawniła odpowiedź XML zawierającą między innymi tag CDATA. Sekcja CDATA zawiera tekst, który nie jest renderowany przez przeglądarkę. Jednak Shachar znalazł sposób na uniknięcie sekcji CDATA i dodanie dowolnej treści XML, która byłaby renderowana przez przeglądarkę, co spowodowało lukę w zabezpieczeniach XSS.
Aby wykorzystać tę lukę, osoba atakująca musiałaby utworzyć nową mapę w Mapach Google, zmienić jej nazwę na ładunek XSS, ustawić jej uprawnienia na publiczne, wyeksportować ją jako plik KML i skopiować łącze pobierania. Atakujący musiałby następnie wysłać odsyłacz do docelowego użytkownika i poczekać, aż go klikną, aby uruchomić exploit i wykonać złośliwy kod w przeglądarce.
Google początkowo przyznał nagrodę w wysokości 5000 USD za lukę w zabezpieczeniach, ale Shachar zarobił dodatkowe 5000 USD po znalezieniu sposobu na ominięcie początkowej poprawki – podobno ominął łatkę w ciągu kilku minut. Co zresztą skłoniło go do weryfikowania wydawanych łatek. „Od incydentu z naprawą pomijania map Google zacząłem zawsze ponownie weryfikować poprawki, nawet w przypadku prostych rzeczy, i to się opłaca. Z całego serca zachęcam do tego samego” – napisał badacz na swoim.
Przypomnijmy, że w zeszłym roku w czerwcu Thomas Orlita, 16-letni łowca nagród za błędy z Czech, ujawnił, że odkrył ślepą lukę w zabezpieczeniach cross-site scripting (XSS), która mogła zostać wykorzystana do ataku na pracowników Google i prawdopodobnie uzyskania dostępu do faktur i innych poufnych informacji. Młody badacz bezpieczeństwa przeanalizował portal przesyłania faktur Google znajdujący się pod adresem gist-uploadmyinvoice.appspot.com, gdzie dostawcy mogą przesyłać faktury do Google.
Podczas procesu wystawiania faktury użytkownicy proszeni są o podanie różnego rodzaju informacji za pośrednictwem kilku pól tekstowych. Jednak Orlita stwierdził, że te dane wejściowe zostały odpowiednio oczyszczone i nie można ich wykorzystać do ataków XSS.
Jednak zauważył, że funkcja przeznaczona do przesyłania faktycznej faktury w formacie PDF może być nadużywana do przesyłania plików HTML. Atakujący musiał po prostu przechwycić żądanie i zmienić nazwę przesłanego pliku oraz właściwości Content-Type na HTML.
Z kolei Microsoft…
Tymczasem nasza ulubiona firma, o której sporo piszemy, czyli Microsoft uruchamia wrześniowe łatanie. Aktualizacje Microsoft Patch Tuesday z naprawiają 129 luk w zabezpieczeniach, niemniej Microsoft optymistycznie twierdzi, że żadna z nich nie została wykorzystana w atakach ani upubliczniona przed opublikowaniem łat.
Gigant technologiczny przydzielił krytyczną ocenę ważności 23 lukom dotyczącym systemu Windows, przeglądarek internetowych, Dynamics 365, SharePoint, Exchange i Visual Studio. Każda z krytycznych usterek może zostać wykorzystana do zdalnego wykonania kodu.
Inicjatywa Zero Day Initiative (ZDI) firmy Trend Micro wskazała, że w tym miesiącu Microsoft rozwiązał dotychczas w tym roku prawie 1000 CVE. To siódmy miesiąc z rzędu z ponad 110 załatanymi lukami. Cóż można sarkastycznie rzec… Brawo!