Telecom Italia: Cookie Handling Vulnerability

Telecom Italia Cookie Handling Vulnerability

Un nostro lettore, Pietro Tedeschi, ci ha comunicato lo scorso 17 Luglio una grave vulnerabilità nella WebeMail di Alice, Tin.it, Virgilio o Tim. La vulnerabilità permette ad un malintenzionato di poter accedere alla nostra casella eMail sfruttando i cookie precedentemente scambiati tra il vostro Browser e i server di Telecom Italia. Possiamo sfruttare la tecnica di Cookie Handling per accedere alla casella eMail di una terza persona, semplicemente importando ed esportando i cookie di un utente, e riutilizzarli dopo la fase di LogOut.

Vediamo nel dettaglio la Security Disclosure che Pietro ci ha gentilmente inviato:

In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni automatiche, Tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti via internet, il contenuto dei loro “carrelli della spesa”. Nel dettaglio, sono stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un browser) e poi rimandati indietro dal client al server (senza subire modifiche) ogni volta che il client accede alla stessa porzione dello stesso dominio web. Il termine “cookie” – letteralmente “biscotto” – deriva da magic cookie (biscotto magico), concetto noto in ambiente UNIX che ha ispirato sia l’idea che il nome dei cookie HTTP. (da Wikipedia)

Questa vulnerabilità permette, ad un utente malintenzionato di attaccare vari account, semplicemente importando ed esportando i cookie di un utente, e riutilizzarli dopo la fase di LogOut.

Dettagli

Una volta eseguito il LogOut, regolarmente il sito web dovrebbe rendere invalido il cookie per non permettere il riuso. Nel nostro caso, io posso riusare tranquillamente i cookie per autenticare la sessione senza l’inserimento di username e password.

PoC

Eseguiamo il LogIn all’interno del sito di Telecom, esportiamo il cookie con un’estensione (ad esempio cookie exporter per Chrome) salvando in un file “cookie.txt” il contenuto, all’interno del sistema.

Telecom Italia Cookie Handling Vulnerability Export
Ora possiamo eseguire il LogOut, e autenticarci mediante un altro browser, andando ad importare i cookie sfruttando un’estensione (Es. cookie importer per Firefox ndr).

Telecom Italia Cookie Handling Vulnerability Import
In questo modo io posso autenticarmi nuovamente usando semplicemente gli stessi cookie.
La vulnerabilità è stata testata, dando un esito positivo, sule caselle di posta elettronica:

  • @alice.it
  • @virgilio.it

Esempio Live
Basta creare una mail con virgilio (Uso questa poiché è gratutita), autenticarsi, esportare il cookie, eseguire il LogOut e poi attraverso l’importazione dei cookie con il conseguente accesso a mail.virgilio.it (anche da un altro PC, o Browser), mi ritroverò già autenticato. Il discorso è valido se si possiede un indirizzo @alice.it.

Metodi di attacco
Per l’attacco le tecniche principali sono:

  • XSS o meglio conosciuta come Cross Site Scripting
  • Trojan o MITM (Man in The Middle)
  • Cookie Stealer

Per qualsiasi altro dettaglio potete contattare Pietro Tedeschi via eMail: [email-obfuscate email=”ted.pietro@alice.it”]

  • SeaPatrol

    e per difendersi ?

    • Passare ad AOL 🙂

      Il giorno 11/ago/2013, alle ore 13:07, “Disqus” ha scritto:

      • SeaPatrol

        😀
        quelle poche volte che aprirò alice mail dal browser, dovrò ricordarmi di cancellare i cookie a mano e sperare 🙂

        • Emanuele

          Il problema non è nel tuo browser, ma nei server di telecom italia! Non puoi farci nulla se loro non risolvo il problema…tranne non utilizzare il loro servizio 🙂

          • SeaPatrol

            Ok, dunque se è compromesso sarebbe inutile anche cambiare password. Come posso capire se è stato compromesso o quando risolveranno?
            la settimana scorsa l’avevo usato per contrassegnare alcune mail come spam ed ho notato che hanno messo https per il login.
            Quasi tutte le varie iscrizioni a forum siti etc, fatti con quella mail gli ho cambiati ma purtroppo l’indirizzo email non posso cancellarlo visto che ho l’adsl con loro

          • Emanuele

            Nell’articolo non è specificato cosa succede cambiando la password (se i cookie vengono eliminati o meno dal server). Bisognerebbe provare. Potrai scoprire che hanno risolto il problema solo il giorno in cui, seguendo i passi elencati nell’articolo, non riuscirai più a portare a termine le operazioni descritte. Hai fatto comunque bene a cambiare le password di tutti gli altri servizi se usi spesso, e soprattutto in wifi pubbliche, l’account di alice 😉

          • Wayfarer Ontheroad

            No, il problema da come la vedo io è soprattutto nel computer, tu lasceresti la tua auto spenta per strada ma con 10.000 chiavi dentro?

    • Wayfarer Ontheroad

      Studia 😉

      • SeaPatrol

        Simpatico 🙂