Auditando una app de otra empresa, por esas casualidades de la vida encontré un error/bug en admin.google.com que permite injectar un link maligno desde una inyección en el path de la url, lo que permite redireccionar un usuario a un link maligno externo o forzarlo a que descargue un archivo maligno, malware o script, etc.


El problema en cuestión:

Noté que pude injectar el link al agregar en el path un string con el dominio de mi elección, la inyección del path es en si mismo el link que renderiza google en la página, con esto podemos poner el dominio que nosotros queramos y será inyectado en la página con un link href=dominio_en_path_url


El impacto:

Con un poco de imaginación, un atacante o hacker podría enviar el link de la url ya modificada a los usuarios, ya sea mediante envío de emails, o repartirlo en redes sociales, etc. Una vez que el usuario hace click en el link queda comprometido ya sea con un download de archivo de malware, redirección a otro sitio, ejecución de script maligno, etc. En ningún momento google avisa de la redirección, ya que el link es totalmente renderizado por google he inyectado en su propia web.

¿Por que es tan crítico? Porque es un link dentro de admin.google.com ! totalmente “confiable” para cualquier usuario.


Detalles Técnicos:

La url maligna quedaría algo así -> https://admin.google.com/google-mail.info/[email protected]

/[google-mail.info] -> es un falso dominio que yo compré, aqui podemos colocar cualquier dominio de nuestra propiedad, el cual será renderizado como link en la web.

[[email protected]] esto es solo una inyección de texto para persuadirlo al usuario que haga click en el link que aparece en la web arriba.

La página se vería algo así: https://admin.google.com/google-mail.info/[email protected]

Podemos ver el link inyectado y el texto también, google-mail.info es el dominio de mi propiedad que al cliquearlo realizará el hack al usuario.


La respuesta desde Google:

El error/bug fue reportado a google ayer y la contestación fue la siguiente:

“ Hey,

Thanks for the bug report.

We’ve taken a look at your submission and can confirm this is not a security vulnerability.Reports that demonstrate exploitation with a Reflected File Download and other social-engineering vectors usually fall out of scope for Google VRP. “

*Básicamente ellos dictaminan que esto NO califica como una vulnerabilidad y que este tipo de reportes y vectores están fuera del programa de bug bounty.

Les dejo a su imaginación las posibilidades que tiene este error de explotarse a grandes escalas, ya sea con ingeniería social, spam, o lo que se les ocurra.


Aqui un video del PoC que hice y envié con el reporte:

NOTA: El bug NO ha sido parcheado aun y sinceramente creo que no lo harán a futuro.

Autor: ak1t4

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">