0
0
Os pesquisadores descobriram vários bugs de falsificação de URL no Box, Zoom e Google Docs que permitiriam que os phishers gerassem links para conteúdo malicioso e fizessem parecer que estão hospedados pela conta SaaS de uma organização.
Muitos ataques são possíveis
As vulnerabilidades surgem por falta de validação dos chamados URLs de vaidade, e permitem que invasores com suas próprias contas SaaS alterem a URL das páginas hospedando arquivos, formulários e páginas de pouso maliciosas, a ponto de maximizar seu potencial para enganar os usuários.
“Esses URLs falsificados podem ser usados para campanhas de phishing, ataques de engenharia social, ataques de reputação e distribuição de malware”, observaram os pesquisadores da Varonis.
“A maioria das pessoas é mais provável de confiar em um link em varonis.box.com do que um link genérico app.box.com. No entanto, se alguém pode falsificar esse subdomínio, então confiar na URL da vaidade pode sair pela culatra.”
Os pesquisadores demonstraram a explorabilidade dessas falhas por:
- Hospedar um PDF malicioso e um formulário de phishing em sua conta de caixa de teste, em seguida, criar URLs de compartilhamento de arquivos e solicitação de arquivo público e alterar o subdomínio nesses (e os links continuaram a funcionar!)
- Criar páginas de registro maliciosas, páginas de login de funcionários e páginas hospedando gravações de reunião, e fazer com que sua URL e até mesmo sua marca reflitam a de uma marca popular (Apple)
- Criação de Formulários e Docs do Google (este último compartilhado através da opção “publicar para web”) personificando uma empresa/marca específica
Mitigação
As vulnerabilidades de falsificação de URL já foram corrigidas pela Box, mas nem todas foram atenuadas no Zoom e no Google Docs.
“Ainda podemos reproduzir o bug do Google Docs e do Google Forms. Podemos reproduzir o registro e gravação do Webinar Zoom em determinadas circunstâncias, mas o usuário recebe uma mensagem de aviso em todos os casos”, disse a equipe de pesquisa da Varonis ao Help Net Security.
“Ainda estamos em comunicação com o Google e o Zoom caso precisem de mais detalhes, mas ainda não foram fornecidos insights sobre se planejam fazer correções adicionais.”
Uma vez que existem URLs de vaidade em muitos aplicativos SaaS diferentes, eles aconselham as organizações a educar os funcionários sobre o risco de confiar cegamente em links, incluindo o subdomínio da organização ou o de uma marca popular, e ter cuidado quando solicitado a enviar informações confidenciais através de formulários – mesmo que esses formulários pareçam ser hospedados pelas contas saas sancionadas de sua empresa.
FONTE: HELPNET SECURITY