La vulnerabilità CSRF in Facebook consente agli aggressori di dirottare gli account con un clic

Facebook paga $ 25.000 al ricercatore di sicurezza per aver scoperto l’exploit CSRF che porta al furto di account

Un ricercatore di sicurezza ha scoperto una vulnerabilità fatale Cross-Site Request Forgery (CSRF) che consentirebbe agli hacker di impossessarsi degli account Facebook semplicemente costringendo la vittima a fare clic sul collegamento dannoso.

L’esperto di sicurezza informatica utilizzando lo pseudonimo “Samm0uda” ha scoperto una vulnerabilità dopo aver notato un endpoint esposto (facebook.com/comet/dialog_DONOTUSE/), che potrebbe essere sfruttato per aggirare le protezioni CSRF ed eseguire varie azioni per conto della vittima.

“Ciò è possibile a causa di un endpoint vulnerabile che prende un altro particolare endpoint Facebook selezionato dall’attaccante insieme ai parametri ed esegue una richiesta POST a quell’endpoint dopo aver aggiunto il parametro fb_dtsg. Inoltre, questo endpoint è sotto il dominio principale www.facebook.com, il che rende più facile per l’attaccante indurre le sue vittime a visitare l’URL “, afferma il ricercatore nel suo Blog.

“Il punto finale vulnerabile è:
https://www.facebook.com/comet/dialog_DONOTUSE/?url=XXXX dove XXXX è l’endpoint parametrizzato in cui verrà effettuata la richiesta POST (il token CSRF fb_dtsg viene automaticamente aggiunto al corpo della richiesta)”.

Il ricercatore ha scoperto che attraverso il bug non era solo possibile postare sulla timeline degli account di specifici utenti di Facebook, ma anche eliminare le loro immagini del profilo e indurli a cancellare i loro account. In quest’ultimo caso, per un attacco riuscito, l’attaccante dovrà obbligare l’utente a inserire la propria password.

La falla potrebbe essere stata sfruttata anche per prendere il controllo di un account attraverso richieste che cambierebbero l’indirizzo email o il numero di cellulare associato all’account della vittima. Se un utente malintenzionato riesce ad aggiungere il tuo indirizzo e-mail o numero di telefono, può utilizzare la funzione di reimpostazione della password per impostare una nuova password e impedire al proprietario originale di accedere all’account.

Ciò richiederebbe un po’ di sforzo da parte dell’attaccante per sfruttare la vulnerabilità, poiché dovrà costringere l’utente a seguire due collegamenti separati: uno per aggiungere l’e-mail o il numero di telefono e uno per confermarlo. Tuttavia, l’esperto è riuscito a creare un unico collegamento URL che gli ha permesso di ottenere il token di accesso delle vittime.

Samm0uda ha segnalato le sue scoperte a Facebook il 26 gennaio 2019. Il gigante dei social media ha riconosciuto il problema e l’ha risolto il 31 gennaio 2019. Facebook ha dato una ricompensa di $ 25.000 al ricercatore come parte del programma di bug bounty dell’azienda.

Puoi leggere di più sui risultati di Samm0uda qui.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *