Attenzione utenti Facebook: una grave falla permette di allegare file .exe!

Il caricamento di file .exe non è permesso in praticamente nessun servizio web; tuttavia, una vulnerabilità trovata in Facebook vi permette di allegare file .exe e inviarli ai vostri amici e ad altre persone. Il bug è stato identificato da Nathan Power, un anziano penetration tester esperto di sicurezza e consulente CDW, che ha anche pubblicato un articolo sul proprio blog in merito a tale grave problema.

Mark Zuckerberg ha annunciato l’anno scorso, nel mese di novembre, l’introduzione dei “messaggi” e della creazione di un indirizzo personale che ha permesso agli utenti di ottenere un’email @facebook.com che, soprattutto, consente agli utenti di caricare gli allegati, come immagini e documenti, ma non permette di allegare file .exe.

Ogni volta che un utente tenta di allegare un file exe, Facebook lancia il seguente messaggio di errore: “Non è possibile allegare questo tipo di file“. Nathan ha però trovato un modo alternativo per allegare i .exe che ha funzionato davvero! Quando si carica il file su Facebook, viene catturata la richiesta POST da parte del browser web, che è la seguente:

Content-Disposition: form-data; name="attachment"; filename="cmd.exe"

Il valore di “filename” è ciò che viene sottoposto a controllo per identificare il file come minaccia o meno. Modificando la richiesta POST, basta inserire uno spazio vuoto dopo l’estensione .exe per aggirare Facebook, in questo modo:

Content-Disposition: form-data; name="attachment"; filename="cmd.exe "

Incredibile ma vero: FUNZIONA! E’ proprio vero che spesso le cose più semplici e scontate sono quelle più pericolose e sottovalutate da chi lavora ad un progetto. La questione è molto grave: ogni virus su windows è spesso terminante con estensione .exe! Attenti quindi a cosa ricevete e soprattutto andrete ad aprire!