En este artculo voy a exponer cmo se podra realizar un ataque contra los sistemas de recuperacin de contraseas de la UPM pudiendo modificar la contrasea del alumno y obteniendo acceso a todos los servicios que hagan uso de los mismos.

Antes de empezar quiero hacer referencia a otro artculo que trata del mismo tema, siendo ste Anlisis de la gestin de contraseas de la UCM. Con respecto al mismo, decir que si intentamos acceder a los servicios comprometidos veremos que estn cerrados, lo cual es una medida muy recomendable mientras se est tratando de solucionar.


Este artculo es un resumen, por lo que si queris leer la versin completa tendris que acudir al siguiente PDF. Adems, aprovecho para adjuntar el enlace a una carpeta pblica que he creado en Google Docs donde ir colgando todos los artculos en formato PDF. La carpeta en cuestin es Seguridad.

Comencemos!


Disclaimer:

No me hago responsable del mal uso que pueda darse a esta informacin. En ningn momento la intencin del artculo es el incitar a que se produzcan ataques sobre las cuentas de los alumnos de la UPM, ms bien su finalidad es la de concienciar al alumno/universidad de lo fcilmente explotables que son estos sistemas si no se toman todas las medidas de seguridad por ambas partes.


1. Introduccin

El sistema que vamos a atacar es el de recuperacin de contraseas. A travs de este sistema, podremos resetear la contrasea del alumno objetivo y acceder a todos los servicios que utilicen dichos credenciales (correo, campus virtual, etc).

Como ya coment en el artculo sobre el sistema de la UCM, el ataque no es transparente al usuario por lo que nuestro intervalo de accin sobre la cuenta est limitado.

Con respecto a los credenciales, mediante este ataque podremos modificar la contrasea del alumno pero, sabemos su nombre de usuario? En nuestro caso ste es la direccin de correo. Si no la sabemos, podemos aprovecharnos de un servicio-sopln el cual nos facilita la direccin de correo asociada a un alumno (a travs de su DNI).

En este artculo voy a dar por sentado que ya hemos obtenido el DNI del alumno objetivo. En el caso de que no se tuviera, podis acudir al artculo de la UCM en el que se explica brevemente algunas ideas de cmo podemos obtenerlo.


2. El sistema.

El sistema de recuperacin de contraseas de la UPM consta de una nica etapa en la que hay que introducir el DNI del alumno y el cdigo PIN (es el de la tarjeta universitaria, utilizado para la funcin monedero, consulta de expedientes, etc).

El sistema en s no tiene ningn tipo de proteccin, por lo que podemos realizar el nmero de intentos que sean necesarios y, en un primer momento, no estaba monitorizado por lo que era muy difcil levantar sospechas. Adems, en el artculo completo se explica cmo podemos reducir el ataque a un solo intento (olvidndonos de la fuerza bruta, de ahora en adelante FB, y de los posibles bloqueos que puedan implementar) o realizar el ataque sobre otro servicio vulnerable no monitorizado.

Sigo sin entender como, en servicios tan fcilmente explotables como ste, no se implantan medidas de seguridad. Tanto cuesta introducir un CAPTCHA y/o un sistema de bloqueo preventivo?


3. Obteniendo el PIN.

En primer lugar, decir que el cdigo PIN consta de cuatro caracteres numricos. Con respecto a su generacin para adjuntarlo en la peticin, en principio no es necesario que contenga los cuatro dgitos, por lo que es igual de correcto introducir 10 que 0010.

Para obtener el PIN no tenemos ms que hacer un ataque FB sobre el formulario de Olvido de contrasea. El ataque consistira en hacer peticiones con el DNI y un PIN de la siguiente forma:
https://www.upm.es/gsr/correo_alumnos/olvido.upm?op=olvido
accion=validar&dni=DNI&contrasena=PIN


En el caso de que el PIN fuera incorrecto, nos devolver un mensaje de error y en el caso de que acertemos, obtendremos el formulario para modificar la contrasea. Por lo tanto bastar con estar monitorizando la respuesta del servidor y, en el momento en el que no nos devuelva el error, podremos realizar la peticin de cambio de contrasea. Esta peticin ha de ser de la siguiente forma:
https://www.upm.es/gsr/correo_alumnos/olvido.upm?op=olvido
accion=final&contrasena=PASSWD&contrasena2=PASSWD
(ha de adjuntarse la cookie PHPSESSID validada)

Una vez modificada la contrasea habr que esperar un par de minutos para que podamos acceder a todos los servicios sin problemas (vase el correo, el campus virtual, etc).
Como se ha dicho en la introduccin, podramos reducir el ataque a un solo intento. Podis encontrar su explicacin en el artculo completo.

4. El servicio sopln

El servicio-sopln no es ni ms ni menos que el servicio a travs del cual nos podemos crear una cuenta de correo de la UPM (del tipo @alumnos.upm.es).

Para crearnos una cuenta bastara con realizar una peticin a dicho servicio enviando el DNI del alumno y su PIN (claramente slo es posible si el DNI corresponde a un alumno matriculado):

https://www.upm.es/gsr/correo_alumnos/solicitud.upm
accion=validar&dni=DNI&contrasena=PIN

Qu ocurre si el alumno ya tiene una cuenta asociada? Pues que el sistema nos devuelve una alerta mostrndonos su cuenta de correo y la fecha de creacin.

Por lo tanto, en el caso de que tras obtener el PIN y modificar la contrasea, no supiramos el usuario, bastara con acudir a ste servicio para obtener el dato que nos faltaba.
Hasta aqu todo! Ya para terminar...

Aprovecho, ya que tienen relacin entre s, para enlazar el breve artculo PasswordFail de la UPM, en el que se demuestra que se guardan las contraseas de los alumnos en texto plano, con el peligro que ello conlleva.

Como he dicho antes de empezar, no me hago responsable del uso que se haga de esta informacin.

La intencin del artculo es concienciar a los usuarios y obligar a las universidades a prestar verdadera atencin a todos los servicios que ofrecen y que stos han de estar bien implementados pues los datos que manejan no son ninguna tontera.

Artculo cortesa de: Luis Delgado J.

Publicado por Contribuciones en http://www.securitybydefault.com/201...ntrasenas.html