Ошибки в системе шифрования угрожают онлайн-банкингу

Риск раскрытия конфиденциальных данных возник в результате обнаружения недочетов в криптоалгоритмах веб-приложений, разработанных при помощи среды ASP.Net от Microsoft. ASP.Net позволяет защищать файлы cookie с конфиденциальным содержимым, которые создаются приложениями во время сеансов онлайн-банкинга и других подобных операций, посредством AES-шифрования; этот алгоритм одобрен правительством США для использования в соответствующих случаях. Тем не менее, потенциальные уязвимости, существующие в механизме обработки ошибок при изменении содержимого криптованных файлов cookie, могут позволить злоумышленнику существенно сузить диапазон возможных ключей, использовавшихся при шифровании.



Исследователи Тай Дуонг и Джулиано Риццо разработали программный инструмент, названный ими Padding Oracle Exploit Tool, чтобы продемонстрировать принципиальную осуществимость подобной атаки. Ранее им уже удавалось обнаружить похожие недочеты в JavaServer Faces и других сетевых средах.


"Наиболее важным и значимым является тот факт, что при помощи подобной атаки можно поразить вообще любое веб-приложение ASP.Net," - пояснил г-н Риццо. - "Если вкратце, то вы сможете расшифровать все, что было криптовано с помощью API этой среды - файлы cookie, сведения для аутентификации, пользовательские данные, пароли... Среда ASP.Net используется на 25% всех ресурсов в Интернете, и каждый из них может быть атакован посредством эксплуатации этих уязвимостей. Результат может быть разным; в зависимости от особенностей конкретного сервера это может быть и раскрытие некоторой информации, и полная компрометация системы".


Также г-н Риццо счел нужным заметить, что подобная атака может позволить даже не самому опытному и умелому злоумышленнику взломать веб-сайт менее чем за час. "Первый этап нападения требует отправки нескольких тысяч запросов, но, как только эта стадия будет успешно завершена, и взломщик получит секретные ключи, осуществить проникновение можно будет совершенно незаметно. Для реализации такой атаки достаточно вполне элементарных познаний в криптографии," - заявил он.


Подробную информацию по этой проблеме исследователи представят на конференции Ekoparty, проходящей в Аргентине на этой неделе.


The Register

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фишеры использовали уязвимость на сайтах American Express and Snapchat

Веб-сайты American Express и Snapchat содержали уязвимости, связанные с открытыми редиректами (Open Redirect). Эти бреши использовались в недавних фишинговых атаках на пользователей Microsoft 365.

Проблемы класса Open Redirect существуют из-за того, что затронутые веб-ресурсы не проводят корректную валидацию пользовательского ввода. В этом случае условный злоумышленник может управлять URL для перенаправления пользователя на вредоносные сайты.

Поскольку подготовленная фишером ссылка содержит имя легитимного домена, пользователь вряд ли заподозрит неладное. Тем не менее доверенный домен задействуется исключительно в качестве посадочной страницы.

С середины мая по конец июля специалисты компании Inky зафиксировали около 7000 фишинговых писем, отправленных с аккаунтов злоумышленников и пытающихся эксплуатировать уязвимость сайта snapchat[.]com.

В конце июля около двух тысяч аналогичных писем задействовали такую же брешь, но на сайте americanexpress[.]com.

«В случае с обоими эксплойтами злоумышленники включали персональную информацию в URL, чтобы “на лету“ кастомизировать посадочные страницы под конкретную жертву», — объясняют специалисты Inky.

ПДн в ссылках шифровались, чтобы это всё выглядело как набор случайных символов. Вредоносные письма маскировались под уведомления от DocuSign, FedEx и Microsoft. 4 августа информация об уязвимости поступила представителям Snapchat, однако проблема до сих пор не устранена.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru