Security Week 45: обход двухфакторной авторизации в OWA, перехват аккаунтов GMail, уязвимость в OpenSSL
Исследователь Ахмед Мехтаб нашел (новость [1], исследование [2]) нетривиальный способ частичного взлома учетных записей GMail. Используя ошибку в функции объединения разных аккаунтов и пересылки почты, он показал, как можно отправлять сообщения от имени жертвы. В нормальных условиях подключить дополнительную учетную запись к собственной можно с помощью соответствующего меню в настройках. После этого на дополнительную почту отправляется подтверждение. Необходимо кликнуть на линк в этом сообщении, и у вас появляется возможность отправлять почту с собственного ящика от имени этого дополнительного аккаунта.
Соответственно, если у вас нет доступа к атакуемой почте, вы не увидите письмо с подтверждением и ссылку. Но в редких случаях это не требуется: если атакуемая учетная запись деактивирована, и почтовый сервер Google присылает нотификацию о невозможности доставки сообщения. Тогда можно стандартными средствами запросить подтверждение, оно отправится на атакуемый ящик, и вернется целиком в составе сообщения о невозможности доставки. Останется только кликнуть ссылку.
Понятно, что атака имеет крайне ограниченную сферу применения: против реальных почтовых ящиков она возможна только в случае, если каким-то образом заставить владельца деактивировать аккаунт. Второй вариант: жертва заблокировала ваш почтовый ящик, в таком случае начинают присылаться аналогичные сообщения. Как бы то ни было, можно только отправлять письма от имени жертвы, но не получать их. Исследователю удалось прикрутить к своей почте несуществующие адреса с красивыми именами типа gmail@gmail.com. Естественно, на момент публикации исследования, лазейка уже была закрыта.
Видео атаки:
Исследователь показал способ обхода двухфакторной авторизации для Outlook Web Access
Новость [3]
А вот в этой новости речь идет об уязвимости, которая то ли не закрыта, то ли не может быть квалифицирована как уязвимость, то ли, как в анекдоте «всю систему надо менять». Суть в том, что двухфакторную авторизацию в веб-интерфейсе для корпоративной почты Outlook Web Access можно достаточно легко обойти, если у компании-жертвы используется стандартная конфигурация этой службы. Стандартная конфигурация предполагает доступность извне не только OWA, но и компонента Exchange Web Services, на котором 2FA в принципе не реализована. Через EWS можно получить доступ и к почте, что делает двухфакторную авторизацию бессмысленной — она как бы есть, но толку нет.
Исследователь (отчет [4]) отправил информацию в Microsoft, не получил ответа, обнародовал данные. После этого Microsoft предложила решение проблемы, заключающееся в отключении доступа к EWS извне. Действительно, речь идет скорее не об уязвимости, а о неверной конфигурации. С другой стороны, речь идет о дефолтной конфигурации OWA, так что определенные действия со стороны вендора все же требуются. Хотя бы в формате рекомендаций по безопасному внедрению 2FA, которая все-таки работает.
Закрыты уязвимости в OpenSSL
Достаточно серьезную уязвимость в библиотеке OpenSSL закрыли на этой неделе. Уязвимость может быть эксплуатирована при TLS-подключении с использованием недавно стандартизированного [7] алгоритма шифрования ChaCha20-Poly1305: при определенных условиях можно вызвать отказ в обслуживании.
Впрочем, не более того. Ошибка была внесена в код библиотеки недавно, существует только в версии 1.1.0, исправляется апдейтом 1.1.0с. Кроме того, разработчики OpenSSL напомнили о прекращении поддержки версии библиотеки 1.0.1 и более ранних — с нового года обновления и патчи для этой ветки больше выпускаться не будут.
Что еще произошло
Google придумал [8] отдельный флажок для сайтов, на которых неоднократно размещался опасный контент.
Обнародованная на прошлой неделе ITW уязвимость [9] в Windows закрыта [10].
Эксперты «Лаборатории» рассказывают [11] о шифровальщике, использующем механизм Telegram-ботов.
Древности
«Aircop»
Очень опасный вирус. Поражает Boot-секторы дискет, сохраняя старый Boot-сектор по адресу 1/39/9 (головка/трек/сектор). Данные, расположенные по этому адресу, будут уничтожены. Пытается пережить перезагрузку. При попытке загрузки с диска, не содержащего системных файлов DOS, выводит на экран: «Non-system». Периодически сообщает: «RED STATE, Germ offensing — Aircop». Перехватывает int 12h, 13h, 1Bh.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 99.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Автор: «Лаборатория Касперского»
Источник [12]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/208896
Ссылки в тексте:
[1] новость: https://threatpost.com/clever-gmail-hack-let-attackers-take-over-accounts/121818/
[2] исследование: http://blog.securityfuse.com/2016/11/gmail-account-hijacking-vulnerability.html
[3] Новость: https://threatpost.ru/outlook-web-access-two-factor-authentication-bypass-exists/19004/
[4] отчет: http://www.blackhillsinfosec.com/?p=5396
[5] Новость: https://threatpost.com/openssl-patches-high-severity-denial-of-service-bug/121913/
[6] Advisory: https://www.openssl.org/news/secadv/20161110.txt
[7] стандартизированного: https://tools.ietf.org/html/rfc7539
[8] придумал: https://threatpost.ru/google-to-red-flag-repeat-offender-websites/19122/
[9] уязвимость: https://threatpost.ru/google-reveals-windows-kernel-zero-day-under-attack/18945/
[10] закрыта: https://threatpost.ru/microsoft-patches-zero-day-disclosed-by-google/19104/
[11] рассказывают: https://threatpost.ru/novyj-shifrovalshhik-ispolzuet-telegram/19053/
[12] Источник: https://habrahabr.ru/post/315052/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.