OWA for Exchange Server 2003

Iniciado por noandobien, 22 Diciembre 2010, 02:34 AM

0 Miembros y 1 Visitante están viendo este tema.

noandobien

Hola a todos, hace años que no postaba en un foro =S.. Pero bueno aquí estoy.
Resutla que estaba investigando "Outlook Web Access" para Exchange Server 2003 (en realidad estaba investigando un sitio que cuenta con dicho servidor) y me encontre con una URL que me llamaba la atención:

https://sitio.vulnerable.com/exchweb/bin/auth/owalogon.asp?url=https://sitio.vulnerable.com/exchange&reason=0

Lo primero que se me vino a la cabeza fue ver si era vulnerable a ataques de XSS, y definitivamente lo era. Supuse que alguien ya habría encontrado dicha falla, así que busque en Google y si, fue reportada hace años e incluso encontre un Full Disclosure:

http://seclists.org/fulldisclosure/2005/Feb/101

El tema es que Microsoft al parecer nunca corrigio la falla xD, y la institución está usando dicho software. Todo indica que probablemente se puedan encontrar más vulnerabilidades, entonces probe ver que pasaba con la variable reason.

reason=0
reason=1
reason=2
reason=3

Salvo el 0, los demas muestran distintos mensajes de error, como que la sesión ha caducado, que el pass no es correcto, etc... Se me ocurrio cambiar el tipo de valor y poner por ejemplo un string.

https://sitio.vulnerable.com/exchweb/bin/auth/owalogon.asp?url=https://sitio.vulnerable.com/exchange&reason=fuck

La respuesta me llevo a una página indicando el siguiente error:

Citar
Microsoft VBScript runtime error '800a000d'

Type mismatch: '[string: "fuck"]'

/exchweb/bin/auth/spa/logon.asp, línea 542

Y aquí me quede, practicamente no se nada de VBScript ni de ASP, y queria preguntar a alguien con más experiencia si ese error es común, es decir, si está bien validada la variable o si hay alguna posibilidad de inyectar código. O sino, que me aconseje de que forma podría seguir testeando la aplicación. A lo mejor no hay nada más para hacer no se, yo por lo menos me quede sin ideas y queria compartirlo para ver si alguien me ilumina y ver por donde puedo seguir buscando =).

Gracias, saludos.

ChElAnO

Hola.

Esto no es un XSS, es solo una redirección. Podrias poner algun js en la pagina a la que rediriges a la victima pero se ejecutara en el contexto de ese dominio y no en el de la victima, asi que no ganas nada.

En el link que pones lo explican, es cuestion de leer !

OVERVIEW
========
A vulnerability in Microsoft Outlook Web Access allows malicious
attackers to redirect
the login to any URL they wish.
This allows the attacker to force the user to the site of the
attackers choosing enabling the attacker to use social engenering
and phishing style of attacks.

Saludos!!

noandobien

Agradezco tu corrección, y tienes toda la razón no es un XSS sino una redirección. Lo habia leido e incluso lo estuve investigando un largo rato vaya a saber porque lo asocie con un XSS, pero ahora que lo dices no puedo estar más de  acuerdo en que no es un XSS sino una simple redirección.

De todos modos, implica una gran inseguridad ya que podemos realizar otros ataques de phishing, y ofuscando un poco la URL podemos aprovechar al máximo la confianza que provee el sitio vulnerable  (que hasta tiene un certificado válido xD).

No pude encontrar nada más, así que creo que tendré que conformarme con esta falla.

Gracias amigo,
saludos!

ChElAnO

es justo lo que dices, el riesgo asociado implica que puedes redireccionar a una victima utilizando un dominio confiable hacia una web con contenido malicioso para, por ejemplo, explotar alguna vulnerabilidad, hacer phishing, ingenieria social, etc.

Cada nueva vulnerabilidad que conoces/investigues, es mas conocimiento!

Saludos

berz3k

Si consigues un usuario podras enumerar todos los que estan dados de alta dentro del OWA o vaya integrados a traves de su Active Directory (todo depende), por ahi tenia alguna script para automatizar el proceso, ya lo buscare, aunque tambien lo puedes hacer de forma manual, (buscar -> direciones typeas asterisco *), auque ese error

Microsoft VBScript runtime error '800a000d'

Mmm estoy pensando si alguien ha logrado algun SQLi o similar.

-berz3k.