Security Week 45: обход двухфакторной авторизации в OWA, перехват аккаунтов GMail, уязвимость в OpenSSL

в 17:13, , рубрики: 2fa, gmail, klsw, openssl, owa, Блог компании «Лаборатория Касперского», информационная безопасность

Security Week 45: обход двухфакторной авторизации в OWA, перехват аккаунтов GMail, уязвимость в OpenSSL - 1Исследователь Ахмед Мехтаб нашел (новость, исследование) нетривиальный способ частичного взлома учетных записей GMail. Используя ошибку в функции объединения разных аккаунтов и пересылки почты, он показал, как можно отправлять сообщения от имени жертвы. В нормальных условиях подключить дополнительную учетную запись к собственной можно с помощью соответствующего меню в настройках. После этого на дополнительную почту отправляется подтверждение. Необходимо кликнуть на линк в этом сообщении, и у вас появляется возможность отправлять почту с собственного ящика от имени этого дополнительного аккаунта.

Соответственно, если у вас нет доступа к атакуемой почте, вы не увидите письмо с подтверждением и ссылку. Но в редких случаях это не требуется: если атакуемая учетная запись деактивирована, и почтовый сервер Google присылает нотификацию о невозможности доставки сообщения. Тогда можно стандартными средствами запросить подтверждение, оно отправится на атакуемый ящик, и вернется целиком в составе сообщения о невозможности доставки. Останется только кликнуть ссылку.

Понятно, что атака имеет крайне ограниченную сферу применения: против реальных почтовых ящиков она возможна только в случае, если каким-то образом заставить владельца деактивировать аккаунт. Второй вариант: жертва заблокировала ваш почтовый ящик, в таком случае начинают присылаться аналогичные сообщения. Как бы то ни было, можно только отправлять письма от имени жертвы, но не получать их. Исследователю удалось прикрутить к своей почте несуществующие адреса с красивыми именами типа gmail@gmail.com. Естественно, на момент публикации исследования, лазейка уже была закрыта.

Видео атаки:

Исследователь показал способ обхода двухфакторной авторизации для Outlook Web Access

Новость

А вот в этой новости речь идет об уязвимости, которая то ли не закрыта, то ли не может быть квалифицирована как уязвимость, то ли, как в анекдоте «всю систему надо менять». Суть в том, что двухфакторную авторизацию в веб-интерфейсе для корпоративной почты Outlook Web Access можно достаточно легко обойти, если у компании-жертвы используется стандартная конфигурация этой службы. Стандартная конфигурация предполагает доступность извне не только OWA, но и компонента Exchange Web Services, на котором 2FA в принципе не реализована. Через EWS можно получить доступ и к почте, что делает двухфакторную авторизацию бессмысленной — она как бы есть, но толку нет.

Исследователь (отчет) отправил информацию в Microsoft, не получил ответа, обнародовал данные. После этого Microsoft предложила решение проблемы, заключающееся в отключении доступа к EWS извне. Действительно, речь идет скорее не об уязвимости, а о неверной конфигурации. С другой стороны, речь идет о дефолтной конфигурации OWA, так что определенные действия со стороны вендора все же требуются. Хотя бы в формате рекомендаций по безопасному внедрению 2FA, которая все-таки работает.

Закрыты уязвимости в OpenSSL

Новость | Advisory

Достаточно серьезную уязвимость в библиотеке OpenSSL закрыли на этой неделе. Уязвимость может быть эксплуатирована при TLS-подключении с использованием недавно стандартизированного алгоритма шифрования ChaCha20-Poly1305: при определенных условиях можно вызвать отказ в обслуживании.

Впрочем, не более того. Ошибка была внесена в код библиотеки недавно, существует только в версии 1.1.0, исправляется апдейтом 1.1.0с. Кроме того, разработчики OpenSSL напомнили о прекращении поддержки версии библиотеки 1.0.1 и более ранних — с нового года обновления и патчи для этой ветки больше выпускаться не будут.

Что еще произошло

Google придумал отдельный флажок для сайтов, на которых неоднократно размещался опасный контент.

Обнародованная на прошлой неделе ITW уязвимость в Windows закрыта.

Эксперты «Лаборатории» рассказывают о шифровальщике, использующем механизм Telegram-ботов.

Security Week 45: обход двухфакторной авторизации в OWA, перехват аккаунтов GMail, уязвимость в OpenSSL - 2

Древности

«Aircop»

Очень опасный вирус. Поражает Boot-секторы дискет, сохраняя старый Boot-сектор по адресу 1/39/9 (головка/трек/сектор). Данные, расположенные по этому адресу, будут уничтожены. Пытается пережить перезагрузку. При попытке загрузки с диска, не содержащего системных файлов DOS, выводит на экран: «Non-system». Периодически сообщает: «RED STATE, Germ offensing — Aircop». Перехватывает int 12h, 13h, 1Bh.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 99.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: «Лаборатория Касперского»

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js