Molti formati di file, oltre a presentare contenuti, come il JPEG che mostra una foto scattata, possono contenere metadati. Queste informazioni nascoste possono essere inestimabili durante le indagini OSINT e i test di penetrazione. Diamo un’occhiata a qualche caso e agli strumenti utili per estrarre queste informazioni apparentemente nascoste.
Non Pulire i Metadati dalle Foto
I tempi in cui le note piattaforme social non pulivano i metadati delle foto degli utenti pubblicate sui profili sono ormai passati. L’estrazione delle coordinate GPS non rimosse poteva costituire una grave violazione della privacy, come rivelare l’indirizzo di casa di un utente. Anche se ora le piattaforme social rimuovono i metadati dalle foto, molte applicazioni di natura diversa spesso non lo fanno. È importante prestare attenzione a questo aspetto durante i test per proteggere gli utenti del software testato da situazioni simili a quella accaduta a una giornalista televisiva tedesca. Ha pubblicato online una foto come questa:
Gli utenti curiosi di internet hanno scaricato questa foto e ne hanno verificato i metadati. Oltre alle informazioni classiche, si è scoperto che conteneva qualcosa di più. Durante il ritaglio della cornice sopra, il programma grafico ha conservato l’originale della foto come miniatura che mostra una cornice più ampia – rivelando decisamente troppo.
FOCA – Rilevamento di Metadati di Massa nei Documenti
L’estrazione di coordinate GPS o miniature nascoste da una foto costituisce “solo” una violazione della privacy. Tuttavia, verificando i documenti per i metadati, possiamo imbatterci in informazioni che possono aiutarci in modo significativo durante i test di penetrazione. La ricerca manuale di tali file e il loro esame possono richiedere molto tempo. Lo strumento FOCA (Fingerprinting Organizations with Collected Archives) automatizza questo processo. Per un dato dominio, FOCA cerca documenti come Microsoft Office, Open Office o PDF e ne estrae i metadati.
I metadati dei documenti possono contenere i login degli utenti che hanno creato il documento. Queste informazioni possono essere utilizzate per tentare di accedere all’applicazione testata con l’account di quell’utente.
Altri dati importanti che possono essere trovati lì sono le informazioni sul software utilizzato per creare il file insieme alla sua versione. Potrebbe risultare che il software rivelato è vulnerabile a un certo tipo di attacco e basta utilizzare un exploit pronto per infiltrarsi ulteriormente nel sistema.
Oltre alle informazioni sul software, a volte i documenti lasciano anche annotazioni sulla versione del sistema operativo. Una tale menzione facilita anche notevolmente i test di penetrazione. Dopo tutto, ora sappiamo per quale sistema compilare il nostro pezzo di codice dannoso.
Un’altra cosa interessante che può essere trovata nei metadati dei documenti è l’informazione sulla posizione di rete delle stampanti. Questo può aiutare un attaccante a mappare l’infrastruttura di rete e ad attaccare le stampanti stesse.
Strumento disponibile su GitHub – https://github.com/ElevenPaths/FOCA
ExifTool Scanner – Automazione durante i Test di Penetrazione
Mentre lo strumento precedentemente discusso funziona come uno scanner di documenti autonomo che cerca ciò che è già stato indicizzato dai motori di ricerca, non ci aiuterà nel riconoscimento manuale. Dopo tutto, i documenti sono spesso generati su richiesta sotto forma di accesso di download unico. Qui viene in soccorso un plugin di Burp Suite chiamato ExifTool Scanner. Monitorerà passivamente il traffico alla ricerca di file contenenti metadati ed estrarrà per noi informazioni utili. In uno degli audit, l’applicazione testata lasciava informazioni sullo strumento che generava dinamicamente PDF e la versione del sistema su cui era in esecuzione.
Strumento disponibile nel BApp Store e su GitHub – https://github.com/portswigger/exiftool-scanner
Divertente – Rimuovere i Metadati può Essere Pericoloso
Nel 2021, GitLab ha pagato 20.000 dollari per la scoperta di un bug che, a seguito della rimozione dei metadati, ha portato all’esecuzione remota di codice sul server. Bastava inserire il seguente codice nei metadati dell’immagine:
(metadata
(Copyright "\
" . qx{echo vakzz >/tmp/vakzz} . \
" b ") )La versione vulnerabile di ExifTool effettua una verifica nella linea 31 di exiftool/lib/Image/ExifTool/DjVu.pm, responsabile della rimozione degli attributi che utilizzano $ (variabili Perl) o @ (array Perl) per garantire la sicurezza. Questo viene fatto perché questo contenuto viene poi utilizzato nella funzione eval [9] nella linea 34, che esegue il contenuto come codice. Per attivare la funzione vulnerabile, deve essere creato un file DjVu valido con un’annotazione contenente il payload, che verrà eseguito dalla funzione eval come codice Perl.
Per saperne di più su questa vulnerabilità, leggi qui: A Case Study on CVE-2021-22204: ExifTool RCE.
