Security Week 45: обхід двофакторної авторизації в OWA, перехоплення облікових записів GMail уразливість в OpenSSL

Дослідник Ахмед Мехтаб знайшов (новина, исследование) нетривіальний спосіб часткового злому облікових записів GMail. Використовуючи помилку у функції об'єднання різних акаунтів і пересилання пошти, він показав, як можна відправляти повідомлення від імені жертви. В нормальних умовах підключити додатковий обліковий запис до власної можна з допомогою відповідного меню в налаштуваннях. Після цього на додаткову пошту відправляється підтвердження. Необхідно клікнути на посилання в цьому повідомленні, і у вас з'являється можливість відправляти пошту з власного ящика від імені цього додаткового облікового запису.

Відповідно, якщо у вас немає доступу до атакується поштою, ви не побачите лист з підтвердженням та посилання. Але в рідкісних випадках це не потрібно: якщо атакується обліковий запис деактивовано, і поштовий сервер Google надсилає нотифікацію про неможливість доставки повідомлення. Тоді можна стандартними засобами запросити підтвердження, воно відправиться на атакується ящик, і повернеться цілком у складі повідомлення про неможливість доставки. Залишиться тільки клацнути посилання.

Зрозуміло, що атака має вкрай обмежену сферу застосування: проти реальних поштових скриньок вона можлива лише у разі, якщо будь-яким чином змусити власника деактивувати аккаунт. Другий варіант: жертва заблокувала ваш поштовий ящик, в такому разі починають надсилатися аналогічні повідомлення. Як би те ні було, можна тільки відправляти листи від імені жертви, але не отримувати їх. Досліднику вдалося прикрутити до своєї поштою неіснуючі адреси з красивими іменами типу gmail@gmail.com. Природно, на момент публікації дослідження, лазівка вже була закрита.

Відео атаки:



Дослідник показав спосіб обходу двофакторної авторизації для Outlook Web Access
Новость
А ось в цій новині мова йде про уразливості, що то не закрита, то не може бути кваліфікована як вразливість, то, як в анекдоті «всю систему треба міняти». Суть в тому, що двофакторну авторизацію в веб-інтерфейсі для корпоративної пошти Outlook Web Access можна досить легко обійти, якщо у компанії-жертви використовується стандартна конфігурація цієї служби. Стандартна конфігурація передбачає доступність ззовні не тільки OWA, але і компонента Exchange Web Services, на якому 2FA в принципі не реалізована. Через EWS можна отримати доступ до пошти, що робить двофакторну авторизацію безглуздою — вона як би є, але толку немає.



Дослідник (звіт) відправив інформацію Microsoft не отримав відповіді, оприлюднив дані. Після цього Microsoft запропонувала рішення проблеми, що полягає у відключенні доступу до EWS ззовні. Дійсно, мова йде скоріше не про проблеми, а про неправильної конфігурації. З іншого боку, мова йде про дефолтної конфігурації OWA, так що певні дії з боку вендора все ж потрібні. Хоча б у форматі рекомендацій щодо безпечного впровадження 2FA, яка все-таки працює.

Закриті уразливості в OpenSSL
Новина | Advisory
Досить серйозну уразливість в бібліотеці OpenSSL закрили на цьому тижні. Уразливість може бути эксплуатирована при TLS-підключення з використанням нещодавно стандартизованого алгоритму шифрування ChaCha20-Poly1305: при певних умовах можна викликати відмову в обслуговуванні.

Втім, не більш того. Помилка була внесена в код бібліотеки нещодавно, існує тільки у версії 1.1.0, виправляється апдейтом 1.1.0 с. Крім того, розробники OpenSSL нагадали про припинення підтримки версії бібліотеки 1.0.1 і більш ранніх — з нового року оновлення і патчі для цієї гілки більше випускатися не будуть.

Що ще сталося
Google придумав окремий прапорець для сайтів, на яких неодноразово розміщувався небезпечний контент.

Оприлюднена минулого тижня ITW уязвимость Windows закрита.

Експерти «Лабораторії» розповідають про шифровальщике, використовує механізм Telegram-ботів.

Давнину
«Aircop»

Дуже небезпечний вірус. Вражає Boot-сектори дискет, зберігаючи старий Boot-сектор за адресою 1/39/9 (голівка/трек/сектор). Дані, розташовані за цією адресою, будуть знищені. Намагається пережити перезавантаження. При спробі завантаження з диска, що не містить системних файлів DOS, виводить на екран: «Non-system». Періодично повідомляє: «RED STATE, Germ offensing — Aircop». Перехоплює int 12h, 13h, 1Bh.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 99.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.