Hay una nueva vulnerabilidad SSH, Tortuga de agua dulce (papel pdf), y tiene el potencial de ser desagradable, pero sólo en circunstancias extremadamente limitadas. Para comprender el problema, debemos comprender para qué está diseñado SSH. Reemplaza a telnet como herramienta para obtener un shell de línea de comando en una computadora remota. Telnet envía todo ese texto sin cifrar, pero SSH lo envuelve todo dentro de un túnel cifrado con clave pública. Fue diseñado para negociar de forma segura una red hostil, razón por la cual los clientes SSH son tan explícitos en cuanto a aceptar nuevas claves y alertar cuando una clave ha cambiado.
SSH utiliza un contador de secuencia para detectar travesuras del Man-in-the-Middle (MitM), como la eliminación, reproducción o reordenamiento de paquetes. En realidad, esa secuencia no está incluida en el paquete, pero se utiliza como parte de la verificación de autenticación de mensajes (MAC) de varios modos de cifrado. Esto significa que si se elimina un paquete del túnel cifrado, la MAC falla en el resto de los paquetes, lo que provoca un restablecimiento completo de la conexión. En realidad, esta secuencia comienza en cero, con el primer paquete sin cifrar enviado después de que se intercambian los carteles de versión. En teoría, esto significa que un atacante que juegue con paquetes en la fase previa al cifrado también invalidará toda la conexión. Sólo hay un problema.
La innovación de los investigadores de Terrapin es que un atacante con acceso MitM a la conexión puede insertar una cantidad de mensajes benignos en la fase previa al cifrado y luego descartar silenciosamente la primera cantidad de mensajes en la fase cifrada. Basta con reescribir una pequeña secuencia TCP para cualquier mensaje intermedio y ni el servidor ni el cliente podrán detectar el engaño. Es un truco realmente interesante, pero ¿qué podemos hacer con él?
Para la mayoría de las implementaciones SSH, no mucho. El Versión 9.6 de OpenSSH soluciona el error, calificándolo de criptográficamente novedoso, pero señalando que el impacto real se limita a deshabilitar algunas de las funciones de ofuscación de tiempo agregadas en la versión 9.5.
No hay ningún otro impacto discernible en el secreto de la sesión o la integridad de la sesión.
Sin embargo, para al menos otro servidor SSH, AsyncSSH, existe hay mucho más en juego. Esta biblioteca de Python es a la vez un servidor y un cliente SSH, y hay una vulnerabilidad Terrapin en cada uno. Para un cliente AsyncSSH, la vulnerabilidad permite la inyección de mensajes de información de extensión antes de la transición a cifrado. El ejemplo dado es que el algoritmo de autenticación del cliente se puede degradar, lo que no parece particularmente útil.
La vulnerabilidad más notable es cuando se utiliza cualquier cliente SSH para conectarse a un servidor AsynchSSH. Si el atacante también tiene una cuenta en ese servidor, la conexión de la víctima puede enrutarse a un shell controlado por el atacante. Si bien esto no rompe el cifrado SSH directamente, tiene esencialmente el mismo efecto. Esta no es una vulnerabilidad del tipo que se está cayendo, ya que el conjunto de circunstancias previas a la explotación son muy limitadas. Definitivamente es un enfoque único y novedoso, y anticipamos más hallazgos de otros investigadores basándose en la técnica.
AlphV ha sido incautado y anulado
En una saga hilarante, el FBI ha jugado a la mancha con AlphV sobre un sitio de ransomware .onion. Un servicio cebolla TOR utiliza una clave pública-privada, donde la clave pública es la dirección .onion y la clave privada controla toda la magia de enrutamiento que conecta a un usuario con el servicio. Al parecer, el FBI atrapó el servidor físico y utilizó esa clave privada capturada para redirigir la dirección .onion a la página de eliminación.
Aparentemente, los administradores de AlphV también han retenido el control de esa clave privada, ya que un mensaje bastante descarado siguió reemplazando el aviso del FBI. En la versión “no incautada”, un gato negro presenta una nueva dirección .onion. Ah, y en represalia por el desaire, AlphV ha rescindido su restricción de atacar hospitales y otras infraestructuras críticas. El único recorte que queda es su renuencia a atacar a la Comunidad de Estados Independientes, también conocida como la antigua Unión Soviética.
Derrame automático
Esto inicialmente suena bastante mal. Las aplicaciones de Android obtienen acceso a las credenciales del administrador de contraseñas. Pero una mirada un poco más profunda podría atenuar nuestra angustia. Primero, recuerde que las aplicaciones de Android tienen una vista nativa para operaciones normales y también tienen una vista web para mostrar contenido web. El problema aquí es que cuando un administrador de contraseñas completa automáticamente un sitio web en esa vista web, el contenido se filtra nuevamente a la interfaz de la aplicación nativa.
Entonces, el modelo de amenaza es que una aplicación que no es de confianza inicia un sitio web para un flujo de autenticación de “Iniciar sesión con”. Su administrador de contraseñas detecta el sitio de Facebook/Google/Microsoft y ofrece completar automáticamente las credenciales. Y al completarse automáticamente, la propia aplicación ahora los ha capturado. Está tomando un poco de tiempo para que Google y las empresas de administración de contraseñas se pongan de acuerdo sobre exactamente quién es el problema y si es necesario corregirlo. Para más detalles, hay un PDF disponible.
Bits y Bytes
Las colisiones de hash son generalmente algo malo. Si un algoritmo hash tiene alguna posibilidad factible de colisión, es hora de retirarlo para cualquier trabajo serio. Pero ¿qué pasaría si sólo necesitáramos colisionar los primeros 7 bytes? En uso con git, por ejemplo, SHA-256 a menudo se trunca a los primeros 7 bytes por razones de usabilidad. ¿Qué tan difícil es chocar con ellos? ¿Y qué hay de agregar los últimos 7 bytes? [David Buchanan] hizo los números por nosotros, y digamos que realmente necesita verificar la solidez criptográfica de todos los bytes de un hash de 256 bits. Con algunos trucos para mejorar la eficiencia, 128 bits de un hash SHA256 sólo cuestan 93,000 dólares y tardarían aproximadamente un mes.
Aquí tienes una idea nueva/vieja: envía un correo electrónico, incluye un .
y segundo correo electrónico con encabezados completos. ¿Qué hará el servidor de correo receptor? En algunos casos, este extraño correo electrónico se ve como un solo mensaje y, en otros casos, como dos. En otras palabras, obtienes contrabando SMTP. Esto es realmente un problema, ya que engaña a un servidor de correo electrónico para que envíe sus correos electrónicos arbitrarios como mensajes confiables. ¿Quiere enviar un mensaje como bill.gates(arroba)microsoft.com y que el DKIM lo verifique? ¡Pasa un mensaje de contrabando a través de los servidores de Office365! Por otro lado, este ya ha sido divulgado a varios servicios vulnerables, por lo que probablemente hayas perdido la oportunidad.
Y para divertirnos un poco, El simulador de phishing de Microsoft detecta phishing real! Es decir, Microsoft ahora tiene una herramienta Attack Simulator que puede ayudarlo a enviar correos electrónicos de phishing falsos, para ayudar a capacitar a los usuarios a no hacer clic en ese enlace. [Vaisha Bernard] probó la herramienta y se dio cuenta de que uno de los enlaces falsos se dirigía a una página de confluencia inexistente y se enviaba desde un dominio no registrado. Registre ambos y ese simulador de phishing tendrá verdadera eficacia. Aparentemente [Vaisha] obtuvo múltiples recompensas por errores al finalmente solucionar todo el problema, lo que demuestra que vale la pena tener curiosidad.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://hackaday.com/2023/12/22/this-week-in-security-terrapin-seized-unseized-and-autospill/
- :posee
- :es
- :no
- :dónde
- 000
- 7
- 9
- a
- Nuestra Empresa
- aceptar
- de la máquina
- Mi Cuenta
- real
- adicional
- la adición de
- dirección
- direcciones
- Después
- en contra
- aka
- algoritmo
- Todos
- permite
- ya haya utilizado
- también
- an
- y
- android
- anticiparse a
- cualquier
- applicación
- enfoque
- aplicaciones
- somos
- AS
- At
- atacar
- Autenticación
- Atrás
- Malo
- banderas
- BE
- esto
- "Ser"
- entre
- Bill
- Poco
- Negro
- ambas
- recompensas
- Descanso
- Error
- bug bounties
- Construir la
- Manojo
- pero
- llamar
- PUEDEN
- capturado
- cases
- CAT
- oportunidad
- cambiado
- comprobar
- circunstancia
- circunstancias
- limpiar
- clic
- cliente
- clientes
- CO
- Chocar
- colisión
- COM
- mancomunidad
- Empresas
- completar
- computadora
- confluencia
- Contacto
- conexión
- conecta
- contenido
- contenido
- control
- controles
- Precio
- Para contrarrestar
- Referencias
- crítico
- Infraestructura crítica
- criptográfico
- criptográficamente
- curioso
- DA
- David
- engaño
- más profundo
- que probar definitivamente
- diseñado
- detalles
- detectar
- directamente
- angustia
- do
- sí
- No
- dominio
- Degradado
- Soltar
- cada una
- ganado
- efecto
- eficiencia
- correo
- cifrado
- cifrado
- Todo
- esencialmente
- exactamente
- ejemplo
- intercambiado
- explotación
- extensión
- extremadamente
- ojos
- falla
- falso
- FBI
- factible
- Caracteristicas
- Finalmente
- Los resultados
- Nombre
- fijas
- fijo
- de tus señales
- Desde
- ser completados
- diversión
- en general
- obtener
- Git
- dado
- Diezmos y Ofrendas
- Va
- tiene
- mano
- Difícil
- hachís
- Hashing
- Tienen
- cabeceras
- ayuda
- esta página
- divertidísimo
- hospitales
- fortaleza
- Cómo
- HTML
- HTTPS
- idea
- if
- Impacto
- implementaciones
- in
- En otra
- incluir
- incluido
- independientes
- info
- EN LA MINA
- posiblemente
- Innovation
- dentro
- ejemplo
- integridad
- interesante
- Interfaz
- dentro
- IT
- sí mismo
- jpg
- solo
- tan siquiera solo una
- mantenido
- Clave
- claves
- Apellidos
- pone en marcha
- menos
- Biblioteca
- como
- Limitada
- línea
- LINK
- enlaces
- pequeño
- Mira
- perdido
- Mac
- magic
- gerente
- significa
- mensaje
- la vida
- Microsoft
- podría
- MITM
- modelo
- los modos
- Mes
- más,
- MEJOR DE TU
- mucho más
- múltiples
- nativo
- necesario
- ¿ Necesita ayuda
- Neither
- del sistema,
- Nuevo
- no
- ni
- normal
- notable
- Aviso..
- señalando
- novela
- ahora
- número
- números
- of
- off
- Ofertas
- a menudo
- oh
- Viejo
- on
- ONE
- , solamente
- Operaciones
- or
- Otro
- "nuestr
- salir
- Más de
- paquetes
- página
- parte
- particularmente
- Contraseña
- administrador de contraseñas
- país
- (PDF)
- fase
- suplantación de identidad
- los libros físicos
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- jugado
- posible
- regalos
- bastante
- Anterior
- privada
- clave privada
- probablemente
- Problema
- público
- clave pública
- Python
- ransomware
- más bien
- real
- realizado
- realmente
- aprovecha
- reorientar
- registrarte
- ,
- renuencia
- permanece
- recordarlo
- sanaciones
- Remoto
- investigadores
- RESTO
- restricción
- retenido
- venganza
- reescritura
- robustez
- enrutamiento
- Ejecutar
- de manera segura
- saga
- sake
- mismo
- dices
- Segundo
- EN LINEA
- parecer
- visto
- se apoderó
- envío
- enviando
- expedido
- Secuencia
- grave
- servidor
- de coches
- Servicios
- Sesión
- set
- Varios
- SHA256
- Cáscara
- Mostrar
- demostración
- simulador
- soltero
- página web
- So
- algo
- soviético
- comienza
- Zonas
- ETIQUETA
- ¡Prepárate!
- toma
- Target
- orientación
- la técnica
- test
- Prueba de ejecución
- texto
- esa
- La
- su
- Les
- luego
- teoría
- cosa
- así
- esta semana
- aquellos
- amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- sincronización
- a
- demasiado
- del IRS
- Puerta
- Entrenar
- transición
- desencadenando
- de confianza
- túnel
- dos
- entender
- antipático
- unión
- único
- no registrado
- a
- usabilidad
- utilizan el
- usado
- Usuario
- usuarios
- usos
- versión
- muy
- Ver
- vulnerabilidad
- Vulnerable
- quieres
- fue
- we
- web
- Página web
- semana
- WELL
- ¿
- cuando
- que
- mientras
- todo
- porque
- seguirá
- palabras
- Actividades:
- se
- Usted
- tú
- zephyrnet
- cero