Баги STARTTLS угрожают популярным почтовым клиентам: Mail.ru, Gmail, Exim

Баги STARTTLS угрожают популярным почтовым клиентам: Mail.ru, Gmail, Exim

Исследователи в области кибербезопасности выявили 40 различных уязвимостей в механизме шифрования, который сегодня используется в почтовых клиентах и на серверах. В случае эксплуатации такие уязвимости могут привести к атаке вида «Человек посередине» (man-in-the-middle, MitM) и позволить атакующему украсть учётные данные.

Обнаруженные бреши затрагивают в первую очередь различные имплементации STARTTLS. На симпозиуме USENIX Security об этих проблемах подробно рассказали специалисты Демиан Поддебняк, Фабиан Исинг, Ханно Бёк и Себастьян Шинзель.

Эксперты развернули масштабное сканирование Сети и выявили 320 тысяч уязвимых почтовых серверов. Наличие уязвимостей позволяло потенциальному злоумышленнику внедрить произвольную команду.

В зоне риска при этом находятся одни из самых популярных почтовых клиентов: Apple Mail, Gmail, Mozilla Thunderbird, Claws Mail, Mutt, Evolution, Exim, Mail.ru, Samsung Email, Яндекс.Почта и KMail. Для эксплуатации атакующая сторона должна вклиниться в соединения между почтовым клиентом и сервером провайдера. При этом у злоумышленников также должен быть собственный аккаунт на том же сервере.

Напомним, что STARTTLS называют расширенной и более продвинутой версией TLS, которая позволяет задействовать протоколы SMTP, POP3 и IMAP при зашифрованном соединении. Это избавляет от необходимости использовать отдельный порт для коммуникаций.

«Апгрейдить соединения с помощью STARTTLS — не совсем надёжно, поскольку эта система имеет свои уязвимости. Если злоумышленник захочет использовать эти бреши, он сможет выкрасть учётные данные через протоколы SMTP и IMAP», — пишут исследователи, выявившие бреши.

«Почтовые клиенты должны аутентифицироваться с именем пользователя и паролем перед тем, как отправить новое электронное письмо или получить доступ к уже существующему. Даунгрейд, который неизбежен в случае эксплуатации дыр, может раскрыть атакующему учётные данные и предоставить ему полный доступ к аккаунту жертвы».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Китайских геймеров атакует подписанный Microsoft руткит FiveSys

Исследователи из Bitdefender обнаружили еще один руткит с валидной подписью Microsoft. Судя по всему, его распространителей интересуют аккаунты пользователей онлайн-игр в Китае.

По данным экспертов, вредонос, именуемый FiveSys, существует в интернете более года. Злоумышленники используют его для перенаправления трафика на кастомные прокси-серверы, список которых вшит в код (300 доменов в TLD-зоне .xyz).

Редирект работает и для HTTP, и для HTTPS; в последнем случае руткит устанавливает в систему корневой сертификат, чтобы браузер жертвы не выдал тревожное предупреждение. Исследователи полагают, что атаки FiveSys нацелены на кражу учетных данных геймеров и перехват внутриигровых покупок.

Для перенаправления трафика используется специальный скрипт автоматической настройки прокси, который вредоносный драйвер извлекает из ресурсов и скармливает браузеру. Функции самозащиты FiveSys включают блокировку редактирования реестра Windows и установки конкурирующих зловредов, которых он отслеживает по обновляемому списку цифровых подписей (в настоящее время 68 хешей).

Новый руткит состоит из множества компонентов; так, в Bitdefender идентифицировали несколько бинарников режима пользователя, предназначенных для загрузки вредоносных драйверов. Последних, по оценкам, должно быть четыре, но экспертам попалось только два образца — PacSys (доставляет скрипт автонастройки прокси) и Up.sys (загружает и запускает некий исполняемый файл).

Каким образом операторам удалось раздобыть цифровую подпись Microsoft, чтобы беспрепятственно внедрять FiveSys на Windows-машины, установить не удалось. Эта подпись WHQL (Windows Hardware Quality Labs) удостоверяет, что продукт успешно прошел тестирование в специализированной лаборатории и будет стабильно работать на любом оборудовании Windows.

Компания с 2016 настаивает на том, чтобы все драйверы, выпускаемые для ее ОС, имели WHQL-подпись. Однако практика показала, что это препятствие можно обойти — достаточно вспомнить недавний инцидент с Netfilter.

Эксперты сообщили в Microsoft о новой находке, и скомпрометированную подпись уже аннулировали. Отчет по итогам исследования Bitdefender доступен (PDF) на сайте компании.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru