Agujero de seguridad en WordPress


Desde el blog de Rooibo, el autor explica en forma sencilla como trabaja este nuevo fallo de WordPress.





Hace unos días encontré un problema que afecta a todas las versiones de wordpress, y que puede ser explotado de forma bastante sencilla, sin embargo, requiere un poco de interacción con el administrador del blog, para que caiga en nuestra pequeña trampa.

Insisto en que no se trata de un engaño ni de que el administrador nos de su contraseña ni nada rastrero, es un agujero de seguridad real, como ahora explicaré.

El problema empieza en el fichero press-this.php, dentro de wp-admin:

http://www.ejemplo.com/wordpress/wp-admin/press-this.php?t=Hacked%20by%20me&s=a%20pro%20hacker%20hacked%20this%20blog

Si el administrador del sitio visitase esta url (ya veremos como), le sale un editor para crear una nueva entrada en el blog, y además, rellenado ya con un título para la entrada y un cuerpo para la entrada, que podemos rellenar utilizando esas dos variables que van por GET.

Esto es un pequeño CSRF que nos permite rellenar el formulario sin que el usuario toque nada.

El problema está en que aunque montemos una web, tipo www.webmuymuymala.com y dentro metamos un iframe que apunte a esa url, y mandando un correo, hagamos que el dueño del blog entre a www.webmuymuymala.com, aun y así, no pasará nada, por que aunque el contenido del nuevo post se autorellena, falta pulsar el botón publicar, cosa que el administrador no hará.

Llegados a este punto, podemos tirar de otra técnica explicada aquí en este mismo blog, llamada clickjacking, para insertar un iframe apuntando a esa URL, bajarle la opacidad a 0, de forma que no se ve nada, y justo debajo del botón publicar, poner un botón que ponga: entrar en mi página!, que aparezca al entrar en www.webmuymuymala.com.

Ahora solo tenemos que convencer al administrador del blog para que entre en nuestra web, el verá una portada y un botón normal y corriente para entrar en la web, y cuando clique, estará clicando en un iframe transparente que tiene encima, concretamente, en el botón publicar del post pre-rellenado.

Explicación:
Página web normal y corriente, con un iframe dentro, que apunta a lo explicado arriba
Ahora reducimos un poco la opacidad del iframe, para que se vea lo que hay debajo
y finalmente reducimos la opacidad a 0, ¿alguien se daría cuenta del engaño? Es imposible, sin tener instalada alguna extensión como noscript.

Como veis, es totalmente imposible saber que hay un iframe transparente encima de ese botón enter.

Cuando el administrador pulse en el botón Enter, estará picando en publicar y agregará una nueva entrada a la portada de su blog, sin llegar a ver nada.

Para evitar este tipo de problemas, las páginas importantes como facebook o twitter impiden cargar ciertas áreas dentro de un iframe, he contactado con wordpress y les he recomendado que la administración no se pueda cargar en un iframe, han abierto un ticket aquí:

http://core.trac.wordpress.org/ticket/12293

Y están debatiendo que hacer. En wordpress.com, el servicio público que ofrecen ya está parcheado. Para variar, y debido a mi MUY mala relación con wordpress, han vuelto a no darme crédito por el aviso ni por nada (es lo que tiene llevarse mal, muy mal), aunque he querido arreglar un poco las cosas y no he publicado hasta que Ryan Boren, de wordpress me ha dado el visto bueno.

Fuente:
http://www.rooibo.com/

 



Otras noticias de interés:

Phishing en Yahoo Messenger
Desde el viernes viene circulando un scam que se propaga por Yahoo MSN. Lo hace mediante mensajes instantáneos a quienes estén en la lista de contactos y su finalidad es robar los datos del usuario. ...
Malware produce pérdidas multimillonarias
Cuando se habla acerca del origen de los códigos maliciosos con los usuarios, muchos de ellos desconocen cuál es la procedencia de los mismos y todavía continuamos escuchando que creen que no existe el desarrollo de malware en la región. Para aqu...
Antivirus y falsos positivos...
A Fred Cohen se le conoce como el padre de los virus informáticos, por ser el primero en acuñar este término en la década de los 80 para describir a estos programas. Además de bautizarlos y analizarlos, en su estudio Computer Viruses - Theory...
Valor de los bitcoins se dispara: Malware a la caza
Donde haya dinero, acudirá el malware. Bitcoin está alcanzando máximos históricos en su valor, por tanto, aunque el concepto no es nuevo, reaparecen especímenes que intentan robar la cartera del usuario que ha encontrado la moneda, o bien aprove...
Vulnerabilidad en Firefox 1.5.0.3 (img=src)
Una vulnerabilidad en Firefox 1.5.0.3 y posiblemente anteriores, puede provocar una denegación de servicio en el navegador....
Cómo convertir Google en un Napster personal y gratuito
Vía Life Hacker indican cómo convertir Google en una especie de Napster personal y gratuito. Se trata únicamente de teclear la siguiente instrucción en el buscador:...
Fallo en seguridad de navegadores revela nuestro historial de navegación
Nuestra privacidad en internet es muy importante, en los últimos años hemos visto como los cyber-delincuentes han afinado más y más sus técnicas con la finalidad de vencer todos los mecanismos de seguridad de los navegadores más conocidos, una ...
Google: Aumenta la vigilancia gubernamental de Internet
El gigante informático Google afirmó hoy que la vigilancia de los gobiernos sobre los contenidos en sus páginas de Internet está claramente en alza, con Estados Unidos a la cabeza, al publicar su informe de transparencia de la primera mitad de 20...
Posibles errores con boletines MS07-008 y MS07-017
Según informa Microsoft en sus artículos 925902 y 935448, algunos usuarios que hayan instalado la actualización correspondiente al boletín de seguridad MS07-017 (la que corrige la vulnerabilidad en archivos .ANI entre otras seis), puede...
Microsoft repite parche de seguridad para Windows XP
Quizás algunos usuarios (según la configuración utilizada), se preguntaron porque volvió a aparecer el icono de nuevas actualizaciones de Windows en su PC, apenas una semana y un par de días después de que los parches del mes fueron instalados....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • agujero
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • wordpress
  • xanadu
  • xfce
  • xombra