Dropbox ¿hackeado?

Durante esta semana un número no concreto de usuarios de Dropbox han recibido una notificación del servicio indicando que deberán cambiar su contraseña. Una medida que la compañía ha establecido como "medida preventiva".

¿Ha sido Dropbox hackeado?

Esta noticia y la suspicacia han hecho que se dé la voz de alarma de manera prematura, alertando de una posible brecha en Dropbox. La razón de este alboroto, al margen de las notificaciones recibidas por los usuarios, ha sido la publicación en ciertos sitios de los detalles de más de 60 millones de cuentas.

La causa probable es que los detalles de esas cuentas son el resultado de un filtrado del incidente ocurrido a mediados de 2012 y del que trascendieron pocos detalles.

De manera oficial, según el blog de Dropbox, la versión de lo ocurrido entonces se basa en tres hechos:

• Algunos usuarios de Dropbox notificaron a la empresa que estaban recibiendo spam en cuentas de correo que usaban exclusivamente para operar con Dropbox.
        
• Que de una investigación interna, Dropbox, encontró que en un "número reducido" de cuentas se había producido un inicio de sesión y que las credenciales usadas habrían sido "robadas de otros sitios web" y reutilizadas para abrir sesiones en Dropbox.
       
• Admitieron que las credenciales de un empleado de Dropbox habían sido comprometidas y usadas. En dicha cuenta los atacantes pudieron obtener un documento de un proyecto que contenía cuentas de correo de usuarios de Dropbox.

A la luz del gran número de cuentas (recordemos, más de 60 millones) y de las explicaciones recibidas entonces hay detalles que como poco resultan curiosos de contrastar.

El más notable sin duda es que 60 millones de cuentas no es un número reducido, incluso para un servicio que pueda tener varios órdenes más de usuarios. Otro detalle llamativo es que no solo es información de la cuenta, correo electrónico, etc. Los archivos contienen hashes, incluso pueden derivarse dos tipos de hashes, los producidos por bcrypt y SHA-1, lo que hace pensar que hubo un cambio en la forma en que almacenaban los hashes anterior a la extracción.

Admitir que Dropbox ha sido hackeada no es posible, pero que la filtración fue muchísimo más grave que la admitida entonces es evidente.

¿Qué hacemos?

En la entrada del blog de Dropbox indican que si el usuario no ha cambiado de contraseña desde el 2012 (que ya de por sí es una mala práctica) ha de hacerlo.

Adicionalmente avisan de otro mal conocido dentro de las malas prácticas: reutilizar esa misma contraseña en sitios diferentes. Justo a la inversa de la declaración que hicieron en 2012, en la que se referían a que ciertas cuentas habían experimentado un inicio de sesión no legítimo usando credenciales "robadas de otros sitios".

Por supuesto otro consejo que dan, y secundamos desde aquí, es la activación del segundo factor de autenticación, algo que debería ser un opt-out en vez de lo contrario en todo servicio que implemente este mecanismo.

Si necesitas saber si tu cuenta de Dropbox estaba incluida en la filtración puedes consultarlo en sitios como: https://haveibeenpwned.com/

Más información:

Security update and new features

https://blogs.dropbox.com/dropbox/2012/07/security-update-new-features/

Resetting passwords to keep your files safe

https://blogs.dropbox.com/dropbox/2016/08/resetting-passwords-to-keep-your-files-safe/

Dropbox Forces Password Resets After User Credentials Exposed

https://motherboard.vice.com/read/dropbox-forces-password-resets-after-user-credentials-exposed

Hackers Stole Account Details for Over 60 Million Dropbox Users

https://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts

David García

dgarcia@hispasec.com

Twitter: @dgn1729

Nubes tormentosas, archivos robados

El tiempo estaba despejado pero cuando los investigadores iniciaron su conferencia las nubes se volvieron de un color negruzco. Más que nubes, nubarrones. Se avecinaba una tormenta. Un atacante podría acceder a los archivos de servicios en la nube como Dropbox, Google Drive o OneDrive sin necesidad de la contraseña del usuario.

Los investigadores de la firma Imperva, mostraron en la conferencia Black Hat lo que han bautizado como ataques "man in the cloud" (hombre en la nube). Estos ataques MITC podrían permitir a un atacante obtener todos los archivos almacenados en servicios basados en la nube, o infectarlos con malware, sin conocimiento del usuario.

Este ataque se diferencia de los ya conocidos de hombre en el medio, en los que se interfiere la comunicación entre dos servidores o usuarios, ya que en esta ocasión se aprovecha una vulnerabilidad en el diseño del sistema de sincronización de archivos ofrecido por diversos servicios de este tipo, como Dropbox, Box, OneDrive o Google Drive.

"Sin usar ningún exploit, simplemente con una sencilla reconfiguración de los servicios se puede conseguir una herramienta de ataque devastadora y difícilmente detectable."

El ataque reside en conseguir el token de contraseña, un pequeño archivo que para mayor comodidad se localiza en el dispositivo del usuario, para evitar tener que introducir la contraseña cada vez que el servicio quiera sincronizarse. Una vez que se consigue el token, para lo que puede emplearse cualquier otro tipo de ataque (p.ej. phishing o drive-by), se puede emplear para engañar a un nuevo equipo y convertir al atacante en el dueño de la cuenta. A partir de aquí ya está todo hecho, el atacante podrá acceder y robar los archivos del usuario, añadir malware en la nube del usuario, emplear la cuenta de ese usuario para otros ataques…

El token de autenticación se almacena en el sistema del usuario en el registro o en un archivo. Después de la autenticación, no se necesitan más credenciales explícitas (o almacenadas) para acceder a la cuenta del usuario. Además este token de sincronización es independiente de la máquina, puede utilizarse el mismo en máquinas diferentes.

La siguiente tabla muestra los tokens y las localizaciones para las diferentes aplicaciones evaluadas por los investigadores:

Aplicación	OneDrive	Box	Google Drive	Dropbox
Tipo de Token	OAuth Refresh Token	OAuth Refresh Token	OAuth Refresh Token	Proprietario
Localización	Windows Credential Manager	Windows Credential Manager	Cifrado en el Registro	Archivo SQLite cifrado

Incluso se puede ir aun más lejos, el atacante podrá actuar como el dueño de la cuenta, si modifica la contraseña impedirá al usuario legítimo acceder a su cuenta, quedando bajo el control total del atacante.

Esperemos que se cumpla el dicho de que "Después de la tormenta siempre llega la calma".

Más información:

Man in The Cloud Attacks

https://www.blackhat.com/us-15/sponsored-sessions.html#man-in-the-cloud-attacks

Man in the Cloud (MITC) Attacks

https://www.imperva.com/docs/imperva_Hacker_Intelligence_Initiative_No22_Jul2015_NEW_FINAL.pdf

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Vulnerabilidad en Dropbox permitía saltar la autenticación en 2 pasos

El equipo de Q-CERT (CERT de Qatar) ha publicado una vulnerabilidad que permitía saltar la autenticación en 2 pasos de Dropbox, lo que posibilitaba a un atacante tener el control de los ficheros de la víctima.

Dropbox es un servicio en Internet que permite a los usuarios registrados el almacenamiento en la nube de archivos.

La autenticación en 2 pasos (Two-Factor Authentication, 2FA) es una capa de seguridad en la autenticación en la que se requiere algo más que un usuario y contraseña para acceder al servicio. Generalmente suele tratarse de un código adicional, generado en el momento de la autenticación, que es recibido por el usuario a través de SMS o una llamada en un terminal móvil.

El investigador Zoutheir Abdallah ha demostrado que si un atacante conoce el usuario y contraseña de la víctima, la autenticación en 2 pasos puede ser eludida. El error es debido a que Dropbox no verifica correctamente la dirección de correo electrónico del usuario que se está autenticando.

Para aprovechar el error se debe crear una cuenta similar a la de la víctima que contenga un punto (.) en cualquier sitio del nombre de la cuenta, por ejemplo, si se quiere atacar al usuario victima@servidor.com, bastará con crear la cuenta victi.ma@servidor.com.

A continuación se debe de activar la autenticación en 2 pasos en la cuenta fraudulenta y guardar el código de seguridad que genera el servicio. Dicho código nos permite acceder a la cuenta en el caso de haber perdido el teléfono.

Como último paso, el atacante, deberá autenticarse con la cuenta real de la víctima, y en el momento de recibir el código en el dispositivo móvil, se deberá indicar al servicio que hemos perdido el dispositivo y que queremos ingresar el código de seguridad, código que fue generado en el momento de la creación de la cuenta fraudulenta y que sería también válido para la cuenta de la víctima.

Q-CERT ha trabajado con Dropbox para resolver el incidente y actualmente se encuentra corregido.

Más información

Bypassing the two-factor authentication in DropBox

http://www.qcert.org/alerts/bypassing-2-factor-authentication-dropbox

Jose Ignacio Palacios Ortega

jipalacios@hispasec.com

Salto de restricciones en las versiones móviles de Dropbox y Google Drive

En la última versión de las aplicaciones para móviles de Dropbox y Google Drive se ha corregido un problema de salto de restricciones. Se han visto afectadas tanto las versiones para iOS como Android.

El investigador en seguridad de IBM, Roi Saltzman (@roisa) ha publicado su análisis sobre una vulnerabilidad presente en las versiones de Android e iOS de Dropbox y Google Drive, aplicaciones utilizadas para la sincronización y acceso remoto de documentos y ficheros.

Las versiones afectadas, que se ya se encuentran actualizadas, son:

* DropBox 1.4.6 (iOS)  y 2.0.1 (Android)

* Google Drive 1.0.1 (iOS)

El fallo residía en una incorrecta gestión de las zonas de seguridad del navegador que permitía a scripts especialmente manipulados, ejecutarse con permisos de zonas privilegiadas del dispositivo (Cross-Zone Scripting).

Este es un ejemplo típico que ocurría en los navegadores de escritorio hace años. A través de ciertos scripts se permitía que el contenido originado desde la zona de "Internet" (que no debería disponer de muchos privilegios) se lanzara en la zona local (que dispone de mayores privilegios sobre el sistema, como por ejemplo a ficheros de sistema).

La vulnerabilidad se presentaba exactamente en las clases UIWebView/WebView de iOS/Android respectivamente, que permiten utilizar un navegador embebido dentro de otra aplicación a modo de ventana para renderizar el contenido HTML, y en el modo que permitían tanto ejecutar automáticamente el código javascript presente en ese HTML como lanzarlo en una zona con permisos diferentes a la original. Con esto se obtiene acceso al DOM del navegador y se podría robar información sensible o tener acceso al sistema de ficheros al lanzarse desde una zona privilegiada (file://).

Para reproducir esta vulnerabilidad sólo seria necesario leer un fichero HTML especialmente manipulado. El atacante obtendría acceso a cualquier fichero que la aplicación pudiese leer. Dependiendo del sistema operativo, incluso podría llegar más lejos. Por ejemplo en iIOS se podrían robar las credenciales de Dropbox.

El investigador ha proporcionado el siguiente código como prueba de concepto:

Para solucionar la vulnerabilidad deben actualizarse a las últimas versiones disponibles:

Dropbox:

https://www.dropbox.com/mobile

Google Drive:

https://www.google.com/intl/es/drive/start/download.html

Más información:

Old Habits Die Hard: Cross-Zone Scripting in Dropbox & Google Drive Mobile Apps:

http://blog.watchfire.com/wfblog/2012/10/old-habits-die-hard.html

José Mesa Orihuela

jmesa@hispasec.com