Un cercetator a descoperit o modalitate de a uploada cod malitios pe serverele Facebook, prin ascunderea aceastuia intr-un document Microsoft Word aparent inofensiv.
In luna iulie, cercetatorul de securitate de origine egipteana, Mohamed Ramadan, a descoperit ceea ce el a numit o vulnerabilitate blind XML External Entity (XXE) out-of-band (OOB) la adresa facebook.com/careers.
La aceasta adresa, utilizatorii care doresc sa aplice pentru un loc de munca in cadrul companiei Facebook isi pot uploada CV-ul in format .pdf sau .docx. In mod normal, acest lucru previne uploadul de fisiere malware. Cu toate acestea, .docx (Office Open XML) este un format de fisier comprimat, bazat pe XML, care a permis cercetatorului sa extraga continutul sau utilizand o aplicatie de arhivare fisiere.
Astfel, modificand fisierele extrase si plasandu-le intr-un fisier .docx, Ramadan a reusit sa incarce cod arbitrar pe serverul Facebook. Codul dezvoltat de acesta a fost pur si simplu proiectat pentru a intra in contact cu un server care ruleaza HTTP de pe calculatorul sau. A fost nevoie de aproximativ 15 minute pentru ca fisierul incarcat pe Facebook sa intre in contact cu serverul lui Ramadan, ceea ce inseamna ca metoda de atac a functionat.
Potrivit cercetatorului, vulnerabilitatea de securitate ar fi putut fi folosita pentru o gama larga de activitati malware, inclusiv atacuri de tip DoS, scanari TCP si accesare fisiere XML.
Initial, compania Facebook nu a reusit sa reproduca atacul, dar dupa investigatii suplimentare aceasta a recunoscut ca intr-adevar exista o problema de securitate si a remediat-o.
In luna august, compania l-a recompensat pe Ramadan cu 6.300 de dolari pentru descoperirea sa.