Facebook trao thưởng 25 nghìn USD cho lỗ hổng CSRF
Một tin tặc mũ trắng với biệt danh trực tuyến “Samm0uda” đã tìm thấy một lỗ hổng CSRF (hình thức tấn công sử dụng quyền chứng thực của người dùng của ứng dụng website) trên Facebook người dùng cuối với đường dẫn facebook.com/comet/dialog_DONOTUSE/. Bằng việc lừa người dùng truy cập vào một đường dẫn độc hại, lỗ hổng này cho phép vượt qua cơ chế chống lại tấn công CSRF và thực hiện hành vi độc hại với quyền truy cập của người dùng. Samm0uda đã công bố các đường dẫn được cho là sử dụng để đăng nội dung lên dòng thời gian, xóa ảnh đại diện, thậm chí xóa toàn bộ tài khoản của người dùng.
Theo nhà nghiên cứu, phương thức tấn công này cũng có thể được sử dụng để lấy quyền kiểm soát tài khoản bằng cách gửi các yêu cầu thay đổi email hoặc số điện thoại của tài khoản người dùng Facebook được nhắm đến. Nếu kẻ tấn công có thể thêm email hoặc số điện thoại của chúng vào tài khoản nạn nhân, thì có thể sử dụng tính năng đặt lại mật khẩu và không cho người dùng hợp pháp truy cập. Việc chiếm đoạt tài khoản qua lỗ hổng bảo mật này là không trực tiếp vì phải truy cập hai đường dẫn riêng biệt, một để thêm địa chỉ email hoặc số điện thoại mới và một để xác nhận hành động.
Tuy nhiên, Samm0uda vẫn tìm ra cách để thực hiện việc khai thác chỉ qua một bước, bằng phương pháp chiếm đoạt quyền truy cập của người dùng cho một ứng dụng độc hại và lấy mã truy cập (access token). Đáng lưu ý, bằng phương thức này, việc tấn công được thực hiện trong thời gian rất ngắn.
Samm0uda đã báo cáo phát hiện của mình cho Facebook vào ngày 26/01/2019 và bản vá đã được phát hành vào ngày 31/01/2019. Facebook đã quyết định trao khoản tiền thưởng 25 nghìn USD.
Trước đó vào tháng 9/2018, Facebook đã công bố về việc tăng mức tiền thưởng cho những nhà nghiên cứu phát hiện lỗ hổng của trang mạng xã hội này (bao gồm các lỗ hổng liên quan đến access token). Vào tháng 12/2018, Facebook báo cáo rằng, họ đã thanh toán 1,1 triệu USD tiền thưởng trong năm 2018 và tổng cộng 7,5 triệu USD kể từ khi chương trình tìm lỗ hổng trao tiền thưởng này bắt đầu vào năm 2011.
Toàn Thắng
Theo SecurityWeek