Er is een nieuwe SSH-kwetsbaarheid, Moerasschildpad (pdf-papier), en het heeft de potentie om vervelend te zijn, maar alleen in uiterst beperkte omstandigheden. Om het probleem te begrijpen, moeten we begrijpen waarvoor SSH is ontworpen. Het vervangt telnet als hulpmiddel om een opdrachtregelshell op een externe computer te krijgen. Telnet verzendt al die tekst transparant, maar SSH verpakt het allemaal in een met een publieke sleutel gecodeerde tunnel. Het is ontworpen om veilig te onderhandelen over een onvriendelijk netwerk. Daarom zijn SSH-clients zo expliciet over het accepteren van nieuwe sleutels en het waarschuwen wanneer een sleutel is gewijzigd.
SSH gebruikt een sequentieteller om Man-in-the-Middle (MitM)-schandalen zoals het verwijderen, opnieuw afspelen of opnieuw ordenen van pakketten te detecteren. Die reeks is niet daadwerkelijk in het pakket opgenomen, maar wordt gebruikt als onderdeel van de Message Authentication Check (MAC) van verschillende versleutelingsmodi. Dit betekent dat als een pakket uit de gecodeerde tunnel wordt verwijderd, de MAC het begeeft bij de rest van de pakketten, waardoor een volledige verbindingsreset wordt geactiveerd. Deze reeks begint feitelijk bij nul, waarbij het eerste niet-gecodeerde pakket wordt verzonden nadat de versiebanners zijn uitgewisseld. In theorie betekent dit dat een aanvaller die in de pre-encryptiefase met pakketten speelt, ook de gehele verbinding ongeldig zal maken. Er is alleen één probleem.
De innovatie van de Terrapin-onderzoekers is dat een aanvaller met MitM-toegang tot de verbinding in de pre-encryptiefase een aantal goedaardige berichten kan invoegen, en vervolgens in de versleutelde fase stilletjes het eerste aantal berichten kan laten vallen. Gewoon een kleine TCP-reeks herschrijven voor alle berichten ertussen, en noch de server, noch de client kunnen het bedrog detecteren. Het is een heel interessante truc, maar wat kunnen we ermee doen?
Voor de meeste SSH-implementaties niet veel. De 9.6-release van OpenSSH pakt de bug aan en noemt het cryptografisch nieuw, maar merkt op dat de werkelijke impact beperkt is tot het uitschakelen van enkele van de timing-verduisteringsfuncties die zijn toegevoegd aan release 9.5.
Er is geen andere waarneembare impact op het sessiegeheim of de sessie-integriteit.
Voor ten minste één andere SSH-server, AsyncSSH, is dat echter wel het geval er staat nogal wat meer op het spel. Deze Python-bibliotheek is zowel een SSH-server als een client, en in beide zit een Terrapin-kwetsbaarheid. Voor een AsyncSSH-client maakt het beveiligingslek de injectie van extensie-informatieberichten mogelijk voorafgaand aan de overgang naar gecodeerd. Het gegeven voorbeeld is dat het clientauthenticatiealgoritme kan worden gedowngraded, wat niet bijzonder nuttig lijkt.
De meest opvallende kwetsbaarheid is wanneer een SSH-client wordt gebruikt om verbinding te maken met een AsynchSSH-server. Als de aanvaller ook een account op die server heeft, kan de verbinding van het slachtoffer naar een door de aanvaller bestuurde shell worden geleid. Hoewel dit de SSH-codering niet rechtstreeks verbreekt, heeft het in essentie hetzelfde effect. Dit is geen soort kwetsbaarheid die uit de hemel valt, omdat de omstandigheden die nodig zijn voor uitbuiting zeer beperkt zijn. Het is absoluut een unieke en nieuwe aanpak, en we verwachten meer bevindingen van andere onderzoekers die voortbouwen op de techniek.
AlphV is in beslag genomen – en niet in beslag genomen
In een hilarisch verhaal, de FBI heeft een spelletje gespeeld met AlphV via een .onion-ransomwaresite. Een TOR-uienservice maakt gebruik van een publiek-private sleutel, waarbij de publieke sleutel het .onion-adres is, en de privésleutel alle routeringsmagie bestuurt die een gebruiker met de service verbindt. De FBI heeft blijkbaar de fysieke server in beslag genomen en de vastgelegde privésleutel gebruikt om het .onion-adres door te sturen naar de verwijderingspagina.
Blijkbaar hebben de AlphV-beheerders ook de controle over die privésleutel behouden, aangezien een nogal brutale boodschap de kennisgeving van de FBI steeds verving. In de “unseized” versie presenteert een zwarte kat een nieuw .onion-adres. Oh, en als vergelding voor het kleine feit heeft AlphV hun beperking op het aanvallen van ziekenhuizen en andere kritieke infrastructuur ingetrokken. Het enige probleem dat overblijft is hun onwil om zich te richten op het Gemenebest van Onafhankelijke Staten, ook wel de oude Sovjet-Unie genoemd.
Automatisch morsen
Deze klinkt in eerste instantie behoorlijk slecht. Android-apps krijgen toegang tot inloggegevens voor wachtwoordbeheer. Maar een beetje dieper kijken zou ons verdriet kunnen temperen. Houd er dus eerst rekening mee dat Android-apps een native weergave hebben voor normale bewerkingen en ook een webweergave hebben voor het weergeven van webinhoud. Het probleem hier is dat wanneer een wachtwoordbeheerder automatisch een website in die webweergave invult, de inhoud teruglekt naar de interface van de native app.
Het dreigingsmodel is dan dat een niet-vertrouwde app een website lanceert voor een ‘Inloggen met’-authenticatiestroom. Uw wachtwoordbeheerder detecteert de Facebook/Google/Microsoft-site en biedt aan om de inloggegevens automatisch in te vullen. En bij het automatisch invullen heeft de app ze nu zelf vastgelegd. Het duurt even voordat Google en wachtwoordbeheerders het eens zijn over wie precies het probleem is en of er oplossingen nodig zijn. Voor meer details, er is een pdf beschikbaar.
Bits en bytes
Hash-botsingen zijn over het algemeen een slechte zaak. Als een hash-algoritme enige kans op botsingen heeft, is het tijd om het voor serieus werk te gebruiken. Maar wat als we alleen de eerste 7 bytes hoefden te laten botsen? Bij gebruik met git wordt SHA-256 bijvoorbeeld vanwege de bruikbaarheid vaak afgekapt tot de eerste 7 bytes. Hoe moeilijk is het om die te botsen? En hoe zit het met het toevoegen van de laatste 7 bytes? [David Buchanan] heeft de cijfers voor ons doorgenomen, en laten we zeggen dat je echt alle bytes van een 256-bits hash moet controleren op cryptografische robuustheid. Met een paar trucjes voor de efficiëntie kosten 128 bits van een SHA256-hash slechts $93,000, wat ongeveer een maand zou duren.
Hier is een nieuw/oud idee: Stuur een e-mail, voeg een .
, en tweede e-mail met volledige headers. Wat gaat de ontvangende mailserver doen? In sommige gevallen wordt deze vreemde e-mail gezien als één bericht, en in sommige gevallen zijn het er twee. Met andere woorden, je krijgt SMTP-smokkel. Dit is echt een probleem, omdat het één e-mailhost ertoe verleidt uw willekeurige e-mails als vertrouwde berichten te verzenden. Wilt u een bericht verzenden als bill.gates(at)microsoft.com en de DKIM laten uitchecken? Smokkel een bericht via de office365-servers! Aan de andere kant is deze al bekendgemaakt aan een aantal kwetsbare diensten, dus je hebt waarschijnlijk je kans verloren.
En voor een beetje plezier, De Phishing Simulator van Microsoft vangt echte Phish op! Dat wil zeggen dat Microsoft nu een Attack Simulator-tool heeft waarmee u valse phishing-e-mails kunt verzenden, om gebruikers te helpen niet op die link te klikken. [Vaisha Bernard] was de tool aan het testen en realiseerde zich dat een van de valse links naar een niet-bestaande samenvloeiingspagina ging en werd verzonden vanaf een niet-geregistreerd domein. Registreer beide, en die phishing-simulator heeft echte tanden. Blijkbaar heeft [Vaisha] meerdere bugpremies verdiend om eindelijk het hele probleem opgelost te krijgen, wat aantoont dat het loont om nieuwsgierig te zijn.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://hackaday.com/2023/12/22/this-week-in-security-terrapin-seized-unseized-and-autospill/
- : heeft
- :is
- :niet
- :waar
- 000
- 7
- 9
- a
- Over
- te accepteren
- toegang
- Account
- daadwerkelijk
- werkelijk
- toegevoegd
- toe te voegen
- adres
- adressen
- Na
- tegen
- aka
- algoritme
- Alles
- toestaat
- al
- ook
- an
- en
- android
- anticiperen
- elke
- gebruiken
- nadering
- apps
- ZIJN
- AS
- At
- aanvallen
- authenticatie
- terug
- slecht
- banners
- BE
- geweest
- wezen
- tussen
- Bill
- Beetje
- Zwart
- zowel
- bounties
- Breken
- Bug
- bug bounties
- Gebouw
- Bos
- maar
- bellen
- CAN
- gevangen
- gevallen
- KAT
- kans
- veranderd
- controle
- omstandigheid
- situatie
- duidelijk
- Klik
- klant
- klanten
- CO
- in botsing komen
- botsing
- COM
- Gemenebest
- Bedrijven
- compleet
- computer
- samenvloeiing
- Verbinden
- versterken
- verbindt
- content
- inhoud
- onder controle te houden
- controles
- Kosten
- Counter
- Geloofsbrieven
- kritisch
- Kritische infrastructuur
- cryptografische
- cryptografisch
- nieuwsgierig
- DA
- David
- bedrog
- diepere
- definitief
- ontworpen
- gegevens
- opsporen
- direct
- nood
- do
- doet
- Nee
- domein
- Gedegradeerd
- Val
- elk
- verdiend
- effect
- doeltreffendheid
- e-mails
- versleutelde
- encryptie
- Geheel
- in wezen
- precies
- voorbeeld
- uitgewisseld
- exploitatie
- uitbreiding
- uiterst
- oog
- mislukt
- nep
- fbi
- uitvoerbaar
- Voordelen
- Tot slot
- bevindingen
- Voornaam*
- vast
- vast
- stroom
- Voor
- oppompen van
- vol
- leuke
- algemeen
- krijgen
- Git
- gegeven
- Vrijgevigheid
- Goes
- Kopen Google Reviews
- kreeg
- hand
- Hard
- hachee
- hashing
- Hebben
- headers
- hulp
- hier
- hilarisch
- ziekenhuizen
- gastheer
- Hoe
- HTML
- HTTPS
- idee
- if
- Impact
- implementaties
- in
- Anders
- omvatten
- inclusief
- onafhankelijk
- info
- Infrastructuur
- eerste
- Innovatie
- binnen
- instantie
- integriteit
- interessant
- Interface
- in
- IT
- zelf
- jpg
- voor slechts
- eentje maar
- gehouden
- sleutel
- toetsen
- Achternaam*
- lanceert
- minst
- Bibliotheek
- als
- Beperkt
- Lijn
- LINK
- links
- Elke kleine stap levert grote resultaten op!
- Kijk
- verloren
- Mac
- magie
- manager
- middel
- Bericht
- berichten
- Microsoft
- macht
- MITM
- model
- modi
- Maand
- meer
- meest
- veel
- meervoudig
- inheemse
- noodzakelijk
- Noodzaak
- nodig
- Noch
- netwerk
- New
- geen
- noch
- een
- opvallend
- Merk op..
- opmerkend
- roman
- nu
- aantal
- nummers
- of
- korting
- Aanbod
- vaak
- oh
- Oud
- on
- EEN
- Slechts
- Operations
- or
- Overige
- onze
- uit
- over
- pakketten
- pagina
- deel
- vooral
- Wachtwoord
- Password Manager
- pays
- fase
- Phishing
- Fysiek
- Plato
- Plato gegevensintelligentie
- PlatoData
- gespeeld
- potentieel
- cadeautjes
- mooi
- Voorafgaand
- privaat
- private Key
- waarschijnlijk
- probleem
- publiek
- public Key
- Python
- ransomware
- liever
- vast
- realiseerde
- werkelijk
- ontvangende
- redirect
- registreren
- los
- tegenzin
- stoffelijk overschot
- niet vergeten
- vanop
- verwijderd
- onderzoekers
- REST
- beperking
- behouden
- vergelding
- herschrijven
- robuustheid
- routing
- lopen
- veilig
- sage
- sake
- dezelfde
- ervaren
- Tweede
- veiligheid
- lijken
- gezien
- in beslag genomen
- sturen
- verzending
- verzonden
- Volgorde
- ernstig
- server
- service
- Diensten
- Sessie
- reeks
- verscheidene
- SHA256
- Shell
- tonen
- tonen
- simulator
- single
- website
- So
- sommige
- Sovjet
- starts
- Staten
- TAG
- Nemen
- het nemen
- doelwit
- targeting
- techniek
- proef
- Testrun
- tekst
- dat
- De
- hun
- Ze
- harte
- theorie
- ding
- dit
- deze week
- die
- bedreiging
- Door
- niet de tijd of
- timing
- naar
- ook
- tools
- Tor
- Trainen
- overgang
- triggering
- vertrouwde
- tunnel
- twee
- begrijpen
- onvriendelijk
- unie
- unieke
- niet ingeschreven
- op
- bruikbaarheid
- .
- gebruikt
- Gebruiker
- gebruikers
- toepassingen
- versie
- zeer
- Bekijk
- kwetsbaarheid
- Kwetsbaar
- willen
- was
- we
- web
- Website
- week
- GOED
- Wat
- wanneer
- welke
- en
- geheel
- Waarom
- wil
- Met
- woorden
- Mijn werk
- zou
- u
- Your
- zephyrnet
- nul