Meta a corrigé une série de bogues qui auraient pu permettre à un acteur malveillant de prendre le contrôle du compte Facebook d’un utilisateur, en versant à son chercheur une prime de bogue de 44 625 $.
Le chercheur en sécurité Youssef Sammouda a pu détourner les comptes des utilisateurs de Facebook qui se sont inscrits à l’aide d’un compte Gmail et utiliser un id_token/code Gmail OAuth pour se connecter au site.
Et, il raconte La gorgée quotidiennela même technique aurait pu être utilisée sur n’importe quel autre compte : « En raison de la complexité du développement d’un tel exploit pour faire exactement cela, je n’ai soumis l’exploit que pour le scénario qui a abouti à la prise en charge de comptes Facebook authentifiés avec Google », dit-il. .
Exploit enchaîné
L’exploit Facebook a exploité une série de vulnérabilités, notamment un bogue de déconnexion CSRF permettant à un attaquant de forcer une victime à se déconnecter de son compte Facebook dans son navigateur et un bogue de connexion CSRF permettant de se connecter au compte Facebook de l’attaquant dans le navigateur de la victime.
Pendant ce temps, une vulnérabilité dans Facebook Outil de point de contrôle en a autorisé la fuite de toute URL visitée sous Facebook.com vers le domaine Sandbox ; et, enfin, une vulnérabilité XSS dans le domaine Facebook Sandbox a permis à l’attaquant d’exécuter du code Javascript dans le contexte du domaine Sandbox.
L’enchaînement de ceux-ci a permis à Sammouda de reprendre les comptes.
« Nous déconnectons l’utilisateur de son compte Facebook, nous forçons la connexion au compte Facebook de l’attaquant », a-t-il expliqué.
EN RELATION De nouvelles failles dans Facebook Canvas gagnent un deuxième jour de paie pour le chasseur de primes de bogues
« À ce stade, le compte Facebook de l’attaquant est bloqué sur l’outil Checkpoint ; nous redirigeons vers Google OAuth qui nous redirige éventuellement vers Facebook.com avec un jeton et un code spéciaux.
Le chercheur a ajouté : « Facebook.com divulgue le jeton et le code au domaine sandbox et nous exploitons enfin le bogue XSS pour voler le jeton et le code du domaine sandbox. »
Divulgation coordonnée
Sammouda affirme que le processus de signalement a été efficace et simple : il a signalé les bogues à Meta le 16 février, et l’entreprise a corrigé les problèmes le 21 mars. Il a reçu son paiement le 14 mai.
Ce n’est pas la première prime exceptionnelle de Sammouda. En effet, il a déjà signalé une douzaine de bogues Facebook avec des paiements similaires.
L’année dernière, par exemple, il a gagné 126 000 $ pour avoir découvert un ensemble de trois failles dans la technologie Canvas de Facebook, avec des travaux de suivi qui lui ont rapporté 98 000 $ plus tôt cette année.
Ce dernier paiement, dit-il, « reflète la gravité du bogue, et aussi à quel point Meta se soucie de la sécurité des comptes des utilisateurs ».
Nous avons invité Facebook à commenter et nous mettrons à jour si nous entendons quelque chose de plus.
Tous les détails techniques peuvent être trouvés dans Sammouda’s dernier article de blog.