Критичные уязвимости в протоколе WPA2

17 Октября 2017, 05:29

Критичные уязвимости в протоколе WPA2

Группа исследователей обнаружила серьезные недостатки в протоколе WPA2, обеспечивающем защиту всех современных Wi-Fi сетей. Злоумышленник, находящийся в зоне действия жертвы, может использовать эти недостатки, используя Key Reinstallation Attacks. Злоумышленники могут использовать этот новый метод атаки для чтения информации, которая ранее считалась зашифрованной.

Уязвимости WPA2 позволяют обойти защиту и прослушивать Wi-Fi-трафик, передаваемый между точкой доступа и компьютером. Им присвоены следующие CVE идентификаторы:

CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

В качестве Proof-of-Concept предоставлена видеозапись, на которой продемострирована атака на смартфон под управлением Android.

"Атака работает против частых и корпоративных Wi-Fi сетей, против устаревшего WPA и свежего стандарта WPA2, и даже против сетей, которые используют исключительно AES. Все наши атаки, направленные на WPA2, используют новаторскую технику реинсталляции ключей (key reinstallation)", — пишут авторы KRACK.

По сути, KRACK позволяет злоумышленнику осуществить атаку типа man-in-the-middle и принудить участников сети выполнить реинсталляцию ключей шифрования, которые защищают трафик WPA2. К тому же если сеть настроена на использование WPA-TKIP или GCMP, злоумышленник сможет не только прослушивать трафик WPA2, но и осуществлять инжекты пакетов в данные жертвы.

Метод KRACK универсален и работает против любых устройств, подключенных к Wi-Fi сети. То есть в опасности абсолютно все пользователи Android, Linux, iOS, macOS, Windows, OpenBSD, а также многочисленные IoT-устойства.

По словам исследователей, эксплоит не будет опубликован до момента, пока большинство вендоров не выпустит обновления.

В Foxit Reader обнаружены две уязвимости

24 Августа 2017, 19:18

Foxit Reader

Специалисты команды Zero Day Initiative (ZDI) компании Trend Micro и специалист фирмы Offensive Security рассказали об обнаружении сразу двух 0-day уязвимостей в популярном приложении для работы с PDF-файлами, Foxit Reader.

Исследователи пишут, что оба бага связаны с работой JavaScript API и их можно эксплуатировать через специально созданный вредоносный файл PDF, который жертва должна открыть в Foxit. При этом разработчики решения отказались выпускать патчи для данных проблем, мотивировав это тем, что уязвимости не работают в режиме Safe Reading (данный режим, к cчастью, включен в Foxit Reader по умолчанию).

Foxit Reader и PhantomPDF имеют режим Safe Reading, который включен по умолчанию и контролирует работу JavaScript, что помогает эффективно обезопасить [пользователей] от потенциальных уязвимостей, связанных с неавторизованными действиями JavaScript", — заявляют разработчики.

CVE-2017-10951: баг связан с app.launchURL и допускает внедрение команд (command injection) атакующим, которые будут выполнены app.launchURL за счет недостатка валидации. 

CVE-2017-10952: уязвимость связана с JavaScript-функцией saveAs и позволяет атакующему сохранить в целевой системе произвольный файл.

 

ЦРУ использовало проект Dumbo для выведения из строя камер наблюдения

06 Августа 2017, 13:28

Dumbo

Свежая порция обнародованных Wikileaks документов рассказывает о том, как ЦРУ, взламывает и выводит из строя камеры наблюдения, микрофоны и повреждает записи, чтобы защитить своих агентов от компрометации и скрыть следы своих операций.

Для вышеозначенных целей ЦРУ использует проект под названием Dumbo. Это не малварь, а предназначенный для Windows-систем инструмент, который агенты могут носить с собой на USB-накопителе. Достаточно подключить флешку с Dumbo на борту к целевой системе и запустить утилиту. 

Dumbo автоматически обнаруживает все подключенные к системе устройства (Bluetooth, Wi-Fi, проводом), находит камеры, микрофоны, сетевые адаптеры и так далее. Буквально в два клика оператор может отключить всю следящую аппаратуру, и Dumbo удалит все процессы, связанные с этими устройствами, а также отключит процессы любого ПО, предназначенного для записи и мониторинга.

Наиболее свежая инструкция (PDF) датирована июнем 2015 года и описывает Dumbo версии 3.0. Согласно бумагам, для работы инструменту понадобятся привилегии SYSTEM, а перед запуском утилиты стоит отключить антивирусное ПО. Вероятнее всего, сотрудники ЦРУ используют вместе с Dumbo другие эксплоиты, если у них нет нужного уровня доступа.

В Dumbo также предусмотрена интересная функция Blue Screen of Death (BSOD, «Синий экран смерти»), как для 32- так и для 64-битных платформ. Активация данной опции позволит замаскировать деятельность оперативника ЦРУ под обычный системный сбой. 32-битная версия поддерживает Windows XP, Windows Vista и более новые ОС семейства Windows. 64-битная версия, в свою очередь, не поддерживает устаревшие ОС, в том числе Windows XP.

Закрытие AlphaBay и Hansa

24 Июля 2017, 19:53

AlphaBay

Министерство юстиции США официально подтвердило то, о чем все уже догадывались: даркнет-маркет AlphaBay был закрыт правоохранительными органами. Однако, согласно официальному пресс-релизу, все не так просто, как предполагалась. Тогда как пользователи ушедшего в оффлайн AlphaBay пытались организованно перейти на другую подпольную торговую площадку, Hansa, теперь выяснилось, что ее тоже закрыли власти. Более того, сайт работал под управлением полиции с июня 2017 года.

Сообщается, что закрытие AlphaBay и Hansa Market стало результатом крупной международной операции, в которой принимали участие США, Канада, Таиланд, Голландия, Великобритания, Франция, Литва, а также представители Европола, ФБР и Управления по борьбе с наркотиками.

Первым "пошел ко дну" сайт Hansa, над серверами которого 20 июня 2017 года перехватила управление полиция Голландии. При этом сайт продолжал работать еще месяц, до недавнего времени, что позволило правоохранителям собрать множество улик и информации о клиентах торговой площадки.

В это же время собственную операцию провели правоохранительные органы США и Канады, арестовавшие серверы AlphaBay 4 июля 2017 года. Теперь представители Минюста подтвердили, что ранее арестованный в Таиланде 25-летний гражданин Канады Александр Каз, являлся одним из руководителей ресурса, известным как Alpha02. После ареста, 12 июля 2017 года, Каз покончил с собой в тайской тюрьме.

Усовершенствованный EternalSynergy способен атаковать новые версии Windows

19 Июля 2017, 12:22

ethernalsynergy

EternalSynergy — это один из инструментом из арсенала АНБ, похищенный у спецслужб группой The Shadow Brokers и опубликованный в открытом доступе в апреле 2017 года. Согласно техническому анализу специалистов Microsoft, эксплоит способен выполнить произвольный код на Windows-машине, если SMB открыт для внешних соединений, эксплуатируя уязвимость CVE-2017-0143. При этом EternalSynergy работал лишь для Windows 8. Исследователи Microsoft отмечали, что ряд изменений в безопасности ядра не позволяют вредоносу влиять на более новые версии ОС.

Тайский исследователь Worawit Wang сумел модифицировать EternalSynergy таким образом, чтобы эксплоит представлял опасность и для более новых версий Windows. Специалист пишет, что в его версии инструмент по-прежнему атакует ту же уязвимость, но использует другую методику атак.

Ван уверяет, что доработанная версия эксплоита не вызывает краха системы, ведь, в его понимании, это совершенно недопустимо. Напомню, что во время эпидемии WannaCry эксплоит EternalBlue демонстрировал успешное срабатывание преимущественно на компьютерах под управлением Windows 7, тогда как Windows XP часто "падала".

EternalSynergy был успешно протестирован и работает для:

  • Windows 2016 x64;
  • Windows 2012 R2 x64;
  • Windows 8.1 x64;
  • Windows 2008 R2 SP1 x64;
  • Windows 7 SP1 x64;
  • Windows 8.1 x86;
  • Windows 7 SP1;

По сути, это означает, что теперь для уязвимости CVE-2017-0143 существуют три актуальных эксплоита: EternalSynergy, EternalRomance и версия Worawit Wang. Сочетая эти инструменты, атакующий сможет скомпрометировать практически любую систему из семейства Windows, не считая разве что Windows 10. Разумеется, если пользователь не установил патч MS17-010.