Es gibt eine neue SSH-Sicherheitslücke. Sumpfschildkröte (pdf-Papier), und es hat das Potenzial, böse zu sein – aber nur unter äußerst begrenzten Umständen. Um das Problem zu verstehen, müssen wir verstehen, wofür SSH konzipiert ist. Es ersetzt Telnet als Tool zum Abrufen einer Befehlszeilen-Shell auf einem Remote-Computer. Telnet sendet den gesamten Text im Klartext, aber SSH verpackt ihn in einen mit einem öffentlichen Schlüssel verschlüsselten Tunnel. Es wurde entwickelt, um ein unfreundliches Netzwerk sicher auszuhandeln, weshalb SSH-Clients so explizit darauf achten, neue Schlüssel zu akzeptieren und zu benachrichtigen, wenn sich ein Schlüssel geändert hat.
SSH verwendet einen Sequenzzähler, um Man-in-the-Middle (MitM)-Spielereien wie das Löschen, Wiederholen oder Neuordnen von Paketen zu erkennen. Diese Sequenz ist nicht wirklich im Paket enthalten, sondern wird als Teil der Message Authentication Check (MAC) mehrerer Verschlüsselungsmodi verwendet. Das heißt, wenn ein Paket aus dem verschlüsselten Tunnel entfernt wird, schlägt der MAC bei den restlichen Paketen fehl, was einen vollständigen Verbindungs-Reset auslöst. Diese Sequenz beginnt eigentlich bei Null, mit dem ersten unverschlüsselten Paket, das nach dem Austausch der Versionsbanner gesendet wird. Theoretisch bedeutet dies, dass ein Angreifer, der in der Vorverschlüsselungsphase an Paketen herumfummelt, auch die gesamte Verbindung ungültig macht. Es gibt nur ein Problem.
Die Innovation der Terrapin-Forscher besteht darin, dass ein Angreifer mit MitM-Zugriff auf die Verbindung in der Vorverschlüsselungsphase eine Reihe harmloser Nachrichten einfügen und dann in der verschlüsselten Phase die erste Anzahl von Nachrichten stillschweigend verwerfen kann. Nur ein kleines Umschreiben der TCP-Sequenz für alle Nachrichten dazwischen, und weder der Server noch der Client können die Täuschung erkennen. Es ist ein wirklich interessanter Trick – aber was können wir damit machen?
Für die meisten SSH-Implementierungen nicht viel. Der 9.6-Version von OpenSSH behebt den Fehler und nennt ihn kryptografisch neu, weist jedoch darauf hin, dass sich die tatsächliche Auswirkung auf die Deaktivierung einiger der in Version 9.5 hinzugefügten Timing-Verschleierungsfunktionen beschränkt.
Es gibt keine weiteren erkennbaren Auswirkungen auf das Sitzungsgeheimnis oder die Sitzungsintegrität.
Für mindestens einen anderen SSH-Server, AsyncSSH, ist dies jedoch der Fall es steht noch viel mehr auf dem Spiel. Diese Python-Bibliothek ist sowohl ein SSH-Server als auch ein Client und weist jeweils eine Terrapin-Schwachstelle auf. Bei einem AsyncSSH-Client ermöglicht die Schwachstelle die Einschleusung von Erweiterungsinformationsnachrichten vor dem Übergang zur Verschlüsselung. Das angeführte Beispiel ist, dass der Client-Authentifizierungsalgorithmus heruntergestuft werden kann, was nicht besonders nützlich erscheint.
Die auffälligste Schwachstelle besteht, wenn ein SSH-Client zum Herstellen einer Verbindung zu einem AsynchSSH-Server verwendet wird. Wenn der Angreifer auch über ein Konto auf diesem Server verfügt, kann die Verbindung des Opfers in eine vom Angreifer kontrollierte Shell weitergeleitet werden. Obwohl dadurch die SSH-Verschlüsselung nicht direkt unterbrochen wird, hat es im Wesentlichen den gleichen Effekt. Dabei handelt es sich nicht um eine Sicherheitslücke der Art, die vom Himmel fällt, da die Voraussetzungen für die Ausnutzung nur sehr begrenzt sind. Es handelt sich definitiv um einen einzigartigen und neuartigen Ansatz, und wir erwarten weitere Erkenntnisse von anderen Forschern, die auf dieser Technik aufbauen.
AlphV wurde beschlagnahmt – und wieder aufgehoben
In einer urkomischen Saga, Das FBI hat mit AlphV Tag gespielt über eine .onion-Ransomware-Site. Ein TOR-Onion-Dienst verwendet einen öffentlich-privaten Schlüssel, wobei der öffentliche Schlüssel die .onion-Adresse ist und der private Schlüssel die gesamte Routing-Magie steuert, die einen Benutzer mit dem Dienst verbindet. Das FBI hat offenbar den physischen Server geschnappt und den erbeuteten privaten Schlüssel verwendet, um die .onion-Adresse auf die Deaktivierungsseite umzuleiten.
Anscheinend haben die AlphV-Administratoren auch die Kontrolle über diesen privaten Schlüssel behalten, da eine ziemlich freche Nachricht immer wieder die Mitteilung des FBI ersetzte. In der „unseized“-Version präsentiert eine schwarze Katze eine neue .onion-Adresse. Oh, und als Vergeltung für die Beleidigung hat AlphV seine Beschränkung gegen Angriffe auf Krankenhäuser und andere kritische Infrastrukturen aufgehoben. Die einzige Lücke, die noch besteht, ist ihre Zurückhaltung, die Gemeinschaft Unabhängiger Staaten, auch bekannt als die alte Sowjetunion, ins Visier zu nehmen.
Autospill
Das hört sich zunächst ziemlich schlecht an. Android-Apps erhalten Zugriff auf die Anmeldeinformationen des Passwort-Managers. Aber ein etwas tieferer Blick könnte unsere Not mildern. Denken Sie also zunächst daran, dass Android-Apps über eine native Ansicht für den normalen Betrieb und auch über eine Webansicht zum Anzeigen von Webinhalten verfügen. Das Problem besteht darin, dass beim automatischen Ausfüllen einer Website in dieser Webansicht durch einen Passwort-Manager der Inhalt zurück in die Benutzeroberfläche der nativen App gelangt.
Das Bedrohungsmodell besteht also darin, dass eine nicht vertrauenswürdige App eine Website für einen „Anmelden mit“-Authentifizierungsfluss startet. Ihr Passwort-Manager erkennt die Facebook-/Google-/Microsoft-Website und bietet an, Anmeldeinformationen automatisch auszufüllen. Und beim automatischen Ausfüllen hat die App sie nun selbst erfasst. Es dauert eine Weile, bis sich Google und Passwort-Manager-Unternehmen darüber einig sind, wer genau das Problem ist und ob Korrekturen erforderlich sind. Für mehr Details, es ist ein PDF verfügbar.
Bits und Bytes
Hash-Kollisionen sind im Allgemeinen eine schlechte Sache. Wenn bei einem Hashing-Algorithmus die Möglichkeit einer Kollision besteht, ist es an der Zeit, ihn für ernsthafte Arbeiten außer Dienst zu stellen. Aber was wäre, wenn wir nur die ersten 7 Bytes kollidieren müssten? Bei der Verwendung mit Git wird SHA-256 beispielsweise aus Gründen der Benutzerfreundlichkeit häufig auf die ersten 7 Bytes gekürzt. Wie schwer ist es, diese zu kollidieren? Und wie wäre es mit dem Hinzufügen der letzten 7 Bytes? [David Buchanan] hat die Zahlen für uns ermittelt, und sagen wir einfach, dass Sie wirklich alle Bytes eines 256-Bit-Hashs auf kryptografische Robustheit überprüfen müssen. Mit einigen Effizienztricks kosten 128 Bits eines SHA256-Hashs nur 93,000 US-Dollar und würden etwa einen Monat dauern.
Hier ist eine neue/alte Idee: Senden Sie eine E-Mail und fügen Sie eine hinzu .
und zweite E-Mail mit vollständigen Headern. Was wird der empfangende Mailserver tun? In manchen Fällen wird diese seltsame E-Mail als eine einzelne Nachricht betrachtet, in manchen Fällen sind es zwei. Mit anderen Worten, Sie bekommen SMTP-Schmuggel. Das ist wirklich ein Problem, da es einen E-Mail-Host dazu verleitet, Ihre beliebigen E-Mails als vertrauenswürdige Nachrichten zu versenden. Möchten Sie eine Nachricht als bill.gates(at)microsoft.com senden und das DKIM überprüfen lassen? Schmuggeln Sie eine Nachricht über die Office365-Server! Andererseits wurde dieser Fall bereits an eine Reihe gefährdeter Dienste weitergegeben, sodass Sie wahrscheinlich Ihre Chance verpasst haben.
Und für ein bisschen Spaß, Der Phishing-Simulator von Microsoft fängt echten Phishing-Angriff! Das heißt, Microsoft verfügt jetzt über ein Angriffssimulator-Tool, das Ihnen beim Versenden gefälschter Phishing-E-Mails helfen kann, um Benutzern beizubringen, nicht auf diesen Link zu klicken. [Vaisha Bernard] testete das Tool und stellte fest, dass einer der gefälschten Links zu einer nicht existierenden Confluence-Seite führte und von einer nicht registrierten Domain gesendet wurde. Registrieren Sie beide, und der Phishing-Simulator hat echte Zähne. Anscheinend hat [Vaisha] mehrere Fehlerprämien erhalten, weil er endlich das ganze Problem behoben hat, was zeigt, dass es sich lohnt, neugierig zu sein.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://hackaday.com/2023/12/22/this-week-in-security-terrapin-seized-unseized-and-autospill/
- :hast
- :Ist
- :nicht
- :Wo
- 000
- 7
- 9
- a
- LiveBuzz
- akzeptieren
- Zugang
- Konto
- präsentieren
- berührt das Schneidwerkzeug
- hinzugefügt
- Hinzufügen
- Adresse
- Adressen
- Nach der
- gegen
- Auch bekannt als:
- Algorithmus
- Alle
- erlaubt
- bereits
- ebenfalls
- an
- und
- androide
- erwarten
- jedem
- App
- Ansatz
- Apps
- SIND
- AS
- At
- Attacke
- Authentifizierung
- Zurück
- Badewanne
- Banner
- BE
- war
- Sein
- zwischen
- Bill
- Bit
- Schwarz
- beide
- Kopfgelder
- Break
- Fehler
- Fehler Kopfgeld
- Building
- Haufen
- aber
- Aufruf
- CAN
- gefangen
- Fälle
- CAT
- Chance
- geändert
- aus der Ferne überprüfen
- Umstand
- Umstände
- klar
- klicken Sie auf
- Auftraggeber
- Kunden
- CO
- Kollidieren
- Kollision
- COM
- Commonwealth
- Unternehmen
- abschließen
- Computer
- Zusammenfluss
- Vernetz Dich
- Verbindung
- Connects
- Inhalt
- Inhalt
- Smartgeräte App
- Steuerung
- Kosten
- Counter
- Referenzen
- kritischem
- Kritische Infrastruktur
- kryptographisch
- kryptografisch
- neugierig
- DA
- Christian
- Täuschung
- tiefer
- definitiv
- entworfen
- Details
- entdecken
- Direkt
- Not
- do
- die
- Tut nicht
- Domain
- Abgestuft
- Drop
- jeder
- verdient
- bewirken
- Effizienz
- E-Mails
- verschlüsselt
- Verschlüsselung
- Ganz
- im Wesentlichen
- genau
- Beispiel
- ausgetauscht
- Ausbeutung
- Erweiterung
- äußerst
- Auge
- scheitert
- Fälschung
- FBI
- möglich
- Eigenschaften
- Endlich
- Befund
- Vorname
- fixiert
- Fixes
- Fluss
- Aussichten für
- für
- voller
- Spaß
- allgemein
- bekommen
- Git
- gegeben
- Unterstützung
- Goes
- habe
- Pflege
- hart
- Hash-
- Hashing
- Haben
- Überschriften
- Hilfe
- hier
- urkomisch
- Krankenhäuser
- Gastgeber
- Ultraschall
- HTML
- HTTPS
- Idee
- if
- Impact der HXNUMXO Observatorien
- Realisierungen
- in
- In anderen
- das
- inklusive
- unabhängig
- Info
- Infrastruktur
- anfänglich
- Innovation
- innerhalb
- Instanz
- Integrität
- interessant
- Schnittstelle
- in
- IT
- selbst
- jpg
- nur
- nur einer
- gehalten
- Wesentliche
- Tasten
- Nachname
- startet
- am wenigsten
- Bibliothek
- Gefällt mir
- Limitiert
- Line
- LINK
- Links
- wenig
- aussehen
- verloren
- mac
- Magie
- Manager
- Mittel
- Nachricht
- Nachrichten
- Microsoft
- könnte
- MITM
- Modell
- Modi
- Monat
- mehr
- vor allem warme
- viel
- mehrere
- nativen
- notwendig,
- Need
- erforderlich
- Weder
- Netzwerk
- Neu
- nicht
- noch
- normal
- bemerkenswert
- Notiz..
- Bemerkens
- Roman
- jetzt an
- Anzahl
- Zahlen
- of
- WOW!
- Angebote
- vorgenommen,
- oh
- Alt
- on
- EINEM
- einzige
- Einkauf & Prozesse
- or
- Andere
- UNSERE
- übrig
- Pakete
- Seite
- Teil
- besonders
- Passwort
- Password Manager
- Land
- Phase
- Phishing
- physikalisch
- Plato
- Datenintelligenz von Plato
- PlatoData
- gespielt
- Potenzial
- Geschenke
- ziemlich
- Vor
- privat
- Private Key
- wahrscheinlich
- Aufgabenstellung:
- Öffentlichkeit
- public Key
- Python
- Ransomware
- lieber
- echt
- realisiert
- wirklich
- Empfang
- umleiten
- Registrieren
- Release
- Abneigung
- bleibt bestehen
- merken
- entfernt
- Entfernt
- Forscher
- REST
- Einschränkung
- behielt
- Vergeltung
- Umschreibung
- Robustheit
- Routing
- Führen Sie
- sicher
- Saga
- Sake
- gleich
- Zweite
- Sicherheitdienst
- scheinen
- gesehen
- beschlagnahmt
- senden
- Sendung
- geschickt
- Reihenfolge
- ernst
- Server
- Lösungen
- Sitzung
- kompensieren
- mehrere
- SHA256
- Schale
- erklären
- zeigt
- Simulator
- Single
- am Standort
- So
- einige
- sowjetisch
- beginnt
- Staaten
- TAG
- Nehmen
- Einnahme
- Target
- Targeting
- Technik
- Test
- Testlauf
- Text
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- Theorie
- Ding
- fehlen uns die Worte.
- diese Woche
- diejenigen
- Bedrohung
- Durch
- Zeit
- zeitliche Koordinierung
- zu
- auch
- Werkzeug
- Tor
- Training
- Übergang
- Auslösen
- vertraut
- Tunnel
- XNUMX
- verstehen
- unfreundlich
- Gewerkschaft
- einzigartiges
- Unregistriert
- auf
- Nutzbarkeit
- -
- benutzt
- Mitglied
- Nutzer
- verwendet
- Version
- sehr
- Anzeigen
- Verwundbarkeit
- Verwundbar
- wollen
- wurde
- we
- Netz
- Webseite
- Woche
- GUT
- Was
- wann
- welche
- während
- ganze
- warum
- werden wir
- mit
- Worte
- Arbeiten
- würde
- U
- Ihr
- Zephyrnet
- Null