Descubierta una vulnerabilidad en OWA (Outlook Web Access) que puede
ser utilizada por un atacante remoto para obtener las credenciales del
usuario que abre un mensaje y hace clic en un enlace de dicho mensaje.
OWA, “Outlook Web Access” es un componente integral de Microsoft
Exchange que permite a los usuarios el acceso a su buzón de correo a
través de la web, utilizando cualquier sistema que ofrezca conexión a
la red. Es muy frecuente que aquellas organizaciones que utilizan
Exchange para el correo electrónico permitan a sus empleados utilizar
OWA como método para el acceso remoto al correo electrónico.
Al igual que Exchange, para acceder al buzón de correo mediante OWA es
preciso que previamente el usuario se autentique en el dominio.
Habitualmente se utiliza el dominio corporativo de la empresa, por lo
que la cuenta para el acceso al correo es la misma utilizada para la
identificación y acceso a los otros recursos de la red.
Un grupo de investigadores especializados en la seguridad de las
aplicaciones acaba de publicar la existencia de una vulnerabilidad del
tipo XSS (Cross Site Scripting) en OWA. Esta vulnerabilidad puede ser
empleada por un atacante remoto para conseguir las credenciales
utilizadas por el usuario para la autenticación. Con esta información,
el atacante podrá acceder al contenido del buzón de la víctima o, si
dispone de la posibilidad de conexión, suplantar su identidad dentro
de la red corporativa.
En teoría OWA realiza un filtrado de los mensajes que recibe para
evitar la presencia de código malicioso que pueda comprometer la
seguridad del navegador utilizado para la visualización de los
mensajes. No obstante, esta protección puede ser fácilmente
desactivada simplemente modificando el contenido de un parámetro que
se envía a través de la URL. Modificando este parámetro, OWA no aplica
ningún tipo de filtro a los mensajes que visualiza.
Esto puede ser utilizado por un atacante remoto para enviar a la
víctima un mensaje HTML conteniendo un enlace especialmente
codificado. Si la víctima hace clic sobre este enlace, se ejecuta el
código asociado al mensaje.
Hasta aquí nos encontramos con un típico problema de XSS. Lo destacado
de este caso es que esta vulnerabilidad permite aprovecharse del débil
mecanismo de seguridad utilizado por OWA para la protección de las
credenciales del usuario.
OWA, al igual que otros sistemas de mensajería, utiliza una cookie con
la información necesaria para evitar que un usuario ya autenticado
tenga que volver a introducir sus credenciales en cada operación.
Desgraciadamente, OWA utiliza un método muy débil para ‘enmascarar’
las credenciales del usuario: simplemente las codificada en base64.
Cuando se definió el mecanismo de codificación base64 (RFC 1341 y
actualizado en el RFC 2045) se deseaba obtener un mecanismo simple
para la representación de datos de forma que no fueran directamente
legibles por los usuarios. No obstante, se trata de un mecanismo muy
simple y fácilmente reversible por lo que no debería utilizarse nunca
para ocultar información sensible, como son las credenciales del
usuario para el correo.
En el momento de redactar este boletín, Microsoft no ha publicado
todavía ninguna actualización de OWA que evite esta vulnerabilidad.
Hasta la disponibilidad de la misma, aconsejamos a los administradores
de sistemas de correo Exchange donde se utilice OWA que instruyan a
sus usuarios acerca de este problema y les pidan que extremen las
precauciones ante los mensajes que reciban con enlaces. La experiencia
dice que esto no sirve para evitar los problemas, pero poco más se
puede hacer.
xavi@hispasec.com
Más información:
Microsoft User Domain Credentials access via OWA XSS
http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/OWA/OWA_XSS.htm
XSS in OWA allows stealing windows domain user credentials
http://www.securityfocus.com/archive/1/328105/2003-06-29/2003-07-05/1
Domain User Credentials access via OWA XSS
http://www.securityfocus.com/archive/1/328364/2003-07-06/2003-07-12/1
Deja un comentario