Un XSS habría permitido suplantar a empleados de Google

El caza-recompensas (bug bounter) Thomas Orlita ha descubierto hace poco una vulnerabilidad de tipo XSS -Cross Site Scripting- en el portal de envío de facturas de Google, que podría haber permitido a los hackers acceder a la red interna de Google y suplantar la identidad de sus empleados.

Esto podría haber tenido serias consecuencias para los usuarios de estos servicios ofrecidos por el gigante americano.

El servicio Google Invoice Submission es un portal público que permite a los partners de negocio de Google enviar facturas. Sin embargo, Thomas Orlita ha descubierto una vulnerabilidad XSS que podría haber permitido a terceros colarse en la red de Google.

Vulnerabilidad en Google Invoice Submission

Descubierta el pasado mes de Febrero, esta vulnerabilidad podría haber traído consecuencias muy peligrosas para usuarios finales, facilitando enormemente los ataques de Phishing, al poder asumir la identidad de empleados de la propia Google.

Según explica el investigador, un atacante podría haber enviado archivos malformados al portal a través del campo «Enviar factura», que no contaba con las validaciones apropiadas.

Esta característica de envío de ficheros en PDF podría utilizarse con fines maliciosos y adjuntar ficheros de tipo HTML. El atacante tendría que interceptar una solicitud hacia el portal y modificar el archivo enviado por la víctima (el nombre del mismo) y las propiedades Content-Type establecidas como HTML.

Un XSS habría permitido suplantar a empleados de Google

Mediante este simple truco sería posible albergar ficheros maliciosos en el sistema de facturación de Google, siendo ejecutado automáticamente cuando un empleado de Google abriera el contenido. Así lo explica:

Dado que es simplemente una validación en front-end, no nos impide modificar el tipo de fichero que estamos enviado con la solicitud POST. Cuando escogemos cualquier archivo PDF, se ejecuta el envío. Podemos interceptar la solicitud utilizando un proxy debugger para cambiar el nombre del fichero y su contenido, desde .pdf a .html.

El investigador obviamente realizó una prueba de concepto incluyendo un payload de tipo XSS que, una vez lanzado, le enviaba un email cada vez que alguien ejecutaba el contenido.

Googleplex.com

Unos días después de sus pruebas, el experto recibió un correo mostrando que el código Javascript contenido en el payload había sido ejecutado en el dominio googleplex.com. Este dominio es usado por Google para almacenar apps y webs internas.

Al intentar ejecutar este contenido, se nos redigire al formulario de inicio de sesión de Google Corp para empleados, que requiere autenticación evidentemente.

El DOM (Document Object Model) de la página coincide con el payload XSS colocado antes en el archivo PDF, según observa el investigador. Esta URL se usa para mostrar el archivo PDF.

Dado que el Content-Type definido en el archivo de pruebas se cambió a HTML, acabó mostrando el payload malicioso en lugar del PDF. En resumidas cuentas, fue posible explotar esta vulnerabilidad para ejecutar código malicioso asumiendo la identidad de empleados de Google y obtener así acceso a información protegida de clientes.

Muchas aplicaciones de Google recaen sobre este mismo dominio, así que el problema habría sido grave, aunque afortunadamente quedó solventado hace ya más de un mes.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.