J

ak możemy sobie przypomnieć atak typu TicketTrick II polega na wykorzystaniu źle skonfigurowanych grup Google. W celu praktycznego przykładu posłużę się jednym ze zgłoszeń, które powędrowało do zespołu Chromium. Żadne wielkie tajemnice nie zostały poznane, ani żadne wielkie restrykcje nie zostały złamane ponieważ:

To join Chromium’s Slack, the organization or person needs to be listed in Chromium’s AUTHOR file. If you have ever contributed a change or belong to one of the active contributor organizations you will be there. Anyone with a @chromium.org address can join directly. Others will have to follow an invite link that you get by mailing a request to chromium-slack-invites (at) chromium.org.

Czyli udało mi się dostać na komunikator zespołowy bez bycia autorem / kontrybutorem projektu, bez wysłania oraz otrzymania zaproszenia, jak i bez posiadania adresu e-mail w domenie @chromium.org. Chociaż ten ostatni warunek udało nam się spełnić właśnie za pośrednictwem grupy Google. Otóż jeśli znajdziemy grupę w danej domenie (tutaj: @chromium.org), która ma uprawnienia: Zawartość mogą wyświetlać wszyscy (ang. Anyone can view content) / Publikować mogą wszyscy (ang. Anyone can post) wówczas możemy wykorzystać jej adres (tutaj: chromium-checkins (w) chromium.org) jako wewnętrzną skrzynkę e-mail, która jest dla nas publicznie dostępna bez żadnego uwierzytelniania. Wystarczy teraz znaleźć serwis wykorzystujący do rejestracji użytkowników adresy z danej domeny. W tym przypadku był to komunikator Slack, w którym jako adres e-mail wystarczyło podać adres e-mail grupy Google. Dalej jest już z górki. Slack wysyła prośbę potwierdzenia adresu e-mail. Jako, że publicznie możemy odczytywać najnowsze wiadomości na grupie mamy dostęp do przesłanego linku aktywacyjnego. Po aktywacji konta możemy zalogować się do danej przestrzeni nazw na komunikatorze włączając wymagane 2FA. Uznania należą się dla zespołu Chromium, ponieważ po około 5 minutach kręcenia się po różnych #kanałach Slack konto zostało zdezaktywowane. Prawdopodobnie proces ten przyśpieszyłem przez niepodszywanie się pod żadnego uprawnionego użytkownika tylko specjalnie zostawiłem roboczą nazwę konta “chromium-checkins” zamiast np. Mike Wazowski, co bardzo szybko mogło wzbudzić wątpliwości.

Oś czasu zgłoszenia:

• 2 luty 2020 – zgłoszenie zespołowi Chromium zbyt wysokich praw do grupy Google,
• 5 luty 2020 – odpowiedź o braku ryzyka dla użytkowników oraz bezpieczeństwa informacji, ponieważ wszystkie dane są traktowane jako publiczne. Uznanie to jako tylnej furtki dla płatnych funkcji komunikatora Slack umożliwiających posiadanie własnej przestrzeni roboczej,
• 14 maj 2020 – upublicznienie zgłoszenia po 14 tygodniach od zamknięcia.

Więcej informacji: Issue 1048882: Security: chromium-checkins@chromium.org account takover due to too high permissions to the group