Vulnerabilidad en Blogger permite a atacantes obtener privilegios de administrador

El día de hoy se publicó en la web un video y un texto que mostraba como un atacante podía obtener de manera fácil y rápida privilegios administrativos sobre una cuenta de Blogger. El video muestra algunas técnicas complejas las cuales pueden ser fácilmente duplicadas con el software correcto y un poco de tiempo.

El hacker que publicó el video tiene el nombre de “Nir Goldshlager“, y es un especialista de seguridad de información de Avnet, y lo hizo con la intención de que el mundo lo viera. Además, también mencionó que esto lo hizo teniendo el Programa de Google Reward en mente, en el cual, cualquiera que encuentre y explote vulnerabilidades en software de Google, obtendrá $1337 dólares por parte de la compañía.

El video de 7 minutos que Goldshlager publicó en la web, muestra como el de manera exitosa, obtuvo acceso a una cuenta de Google al añadirse como autor sin la aprobación de un administrador, se envía a si mismo un email de confirmación, a través del cual el atacante podría convertirse en autor del sitio. Siguiendo estos pasos, el atacante modifica exitosamente sus permisos para convertirse en administrador, permitiendo acceso total para añadir, editar y borrar todo el contenido en el blog de la víctima.

Sin embargo, el blog no menciona si esta vulnerabilidad ha sido parchada por Google o si el gigante de las búsquedas sigue sin saber del problema, ya que el exploit fue publicado el día de hoy.

Vía Neowin