Nástroj infikuje cez WiFi nezraniteľný PC, cez aktualizácie

DSL.sk, 3.8.2009

Dvojica bezpečnostných expertov z izraelskej spoločnosti Radware predstavila cez víkend na hackerskej konferencii Defcon nový softvér Ippon určený k podvrhnutiu škodlivého kódu aj na inak nezraniteľné PC.

Ippon dokáže PC infikovať prostredníctvom procesu aktualizácie softvéru, ktorý u množstva aplikácií nie je dostatočne bezpečný.

V prípade konfigurácie siete, kde dokáže odpočúvať sieťovú komunikáciu, napríklad na verejných alebo nedostatočne zabezpečených WiFi sieťach, nástroj monitoruje kontrolu aktualizácií jednotlivými podporovanými aplikáciami.

Ak detekuje v sieťovej prevádzke kontaktovanie aktualizačného servera niektorým podporovaným softvérom z počítača, na ktorý útočí, podvrhne odpoveď informujúcu o dostupnosti novej verzie a následne už napríklad priamo zo serverov útočníka podvrhne upravenú aktualizáciu softvéru. Pomocou škodlivého kódu skrytého v podvrhnutej aktualizácii môže následne útočník získať kontrolu nad PC.

K infikovaniu PC stačí, aby podporovaná aplikácia spustila kontrolu aktualizácie novej verzie, nie aby bola nová aktualizácia aj reálne vydaná autorom softvéru.

Presné nástrojom podporované techniky podvrhnutia odpovedí zatiaľ neboli zverejnené, pri odpočúvaní komunikácie vo viacerých prípadoch zrejme stačí pre získanie kontroly nad aktualizačným procesom bezproblémové zaslanie jedného podvrhnutého TCP/IP paketu z Internetu, napríklad obsahujúceho HTTP presmerovanie.

Najúčinnejšou ochranou proti tomuto typu útoku je overovanie aktualizácií softvéru digitálnym podpisom, ktorý viacero aplikácií využíva. Aktualizačný proces veľkého množstva softvéru je ale stále v súčasnosti zraniteľný.

Ippon, ktorý plánujú experti zverejniť, vychádza z konceptu niekoľkých podobných starších nástrojov, podporuje podľa dostupných informácií viacero nových techník a najmä obsahuje rozsiahlu databázu softvéru s nedostatočne zabezpečeným procesom aktualizácie s približne 100 aplikáciami, na ktoré dokáže úspešne zaútočiť.

Medzi zraniteľnými sú napríklad Skype, Adobe Reader a Notepad++, kompletný zoznam podporovaných aplikácií nebol zverejnený. Aktualizácie Windows pre využívanie kryptografického podpisu zraniteľné nie sú.


Najnovšie články:



Diskusia:

Všetky uvedené informácie sú bez záruky. Od: rms | Pridané: 3.8.2009 10:47 hahaha :D "kompletný zoznam *podporovaných* aplikácií nebol zverejnený" Inak, len dalsi dovod preco pouzivat sifrovanie na wifi. Odpovedať Známka: 8.9 Hodnotiť:

Re: Všetky uvedené informácie sú bez záruky. Od: _xxx | Pridané: 3.8.2009 11:07 co ti ale nepomoze ak pouzivas WEP alebo slabe heslo na WPA. Odpovedať Známka: -6.2 Hodnotiť:

Re: Všetky uvedené informácie sú bez záruky. Od: rms | Pridané: 3.8.2009 12:21 diky za taku cerstvu informaciu Odpovedať Známka: 9.0 Hodnotiť:

Re: Všetky uvedené informácie sú bez záruky. Od reg.: cca01 | Pridané: 3.8.2009 11:34 Stacilo by cekovat Adobe a dostanem sa 90% pocitacov. WiFi sifrovanie by mala byt samozrejmost, ale na tento problem by bolo vhodne pouzit elektronicky podpis, alebo aspon overenie kontrolnej sumy na stahovane aktualizacie... Odpovedať Známka: 10.0 Hodnotiť:

windowsom chyba Od reg.: noobik | Pridané: 3.8.2009 11:05 centralny balickovaci system Odpovedať Známka: 9.2 Hodnotiť:

Re: windowsom chyba Od reg.: cca01 | Pridané: 3.8.2009 11:36 Zaujimavy Linuxacky pohlad, ale v praxi nerealizovatelne. Kto by spravoval repozitare? Niekto zadarmo? Alebo nejaka vladna institucia? On totiz existuje aj komercny soft. To je ten, ktory na Linux zufalo chyba... Odpovedať Známka: -4.1 Hodnotiť:

Re: windowsom chyba Od: Mr.Speedy_ | Pridané: 3.8.2009 11:43 Mne nechýba Odpovedať Známka: 5.3 Hodnotiť:

Re: windowsom chyba Od: ---- | Pridané: 3.8.2009 12:10 Ak hovorime o Windows, tak takyto repozitar nie je vobec zly napad a podla toho akym smerom platforma Windows smeruje, mozeme sa ho mozno dockat v buducnosti. Dnes sa Microsoftu plati za licenciu, WHQL a podobne veci, cize nevidim problem, ak by sa dalo zaplatit aj pridanie software-u do tohto repozitara. Kto by ho spravoval? Jedine Microsoft, kedze by to bol urcite uzavrety system. Najst par desiatok ludi, ktory sa o to budu starat, nie je vobec problem. Odpovedať Známka: 8.6 Hodnotiť:

Re: windowsom chyba Od: nou | Pridané: 3.8.2009 13:24 al vobec by nemusel byt centralizovany. v linuxe nie je problem pridat dalsi repozitar ktory obsahuje napriklad len jeden program. takto by si mohla kazda firma vytovri repo so svojim vlastnym softverom a Microsoft by napr len zabezpecoval podpisovanie klucov od tychto repozitarov podobne ako je to pri SSL. alebo by to mohlo cele fungovat cele cez SSL. potom by instalacia vyzerala len tak ze na DVD bude balicek s programom a ten sa naistaluje. a este sa nastavi repo na aktualizacie. Odpovedať Známka: 10.0 Hodnotiť:

Re: windowsom chyba Od reg.: cca01 | Pridané: 3.8.2009 13:31 V tejto suvislosti upozornujem na iTunes AppStore (aplikacie pre iPhone), ktore presne riesi aj tento problem... Odpovedať Známka: 2.0 Hodnotiť:

Re: windowsom chyba Od: risototh | Pridané: 3.8.2009 18:54 az na to, ze apple rozhoduje o tom, co tam byt moze a co nie... proste im to musi hrat do biznisu. Odpovedať Známka: 6.7 Hodnotiť:

Re: windowsom chyba Od: Ja. | Pridané: 3.8.2009 12:52 windows nemá ani poriadne vyriešené obyčajné aktualizácie, to by si chcel moc od neho Odpovedať Známka: 1.7 Hodnotiť:

Re: windowsom chyba Od: Yorick_ | Pridané: 3.8.2009 13:07 "Aktualizácie Windows pre využívanie kryptografického podpisu zraniteľné nie sú." Ktoremu slovu z tej vety si nerozumel? Odpovedať Známka: 3.8 Hodnotiť:

Re: windowsom chyba Od reg.: cca01 | Pridané: 3.8.2009 13:28 kryptografického a podpisu :D Odpovedať Známka: 7.6 Hodnotiť:

Nejlepší ochrana Od: Accuphose+ | Pridané: 3.8.2009 11:49 Je firewall a omezení na IP adresy pro daný soft, přece je blbost aby se aktualizace třebas prostřednictvím akamai stahovali z nejake IP adresy z Ruska, ktera patri nejakemu neznamemu operatorovi... Odpovedať Známka: -5.0 Hodnotiť:

Re: Nejlepší ochrana Od: 2Maxim | Pridané: 4.8.2009 20:39 Neznámemu, ale iba pre Teba... Odpovedať Hodnotiť:

zajtra Hortenzia Od reg.: webnick | Pridané: 4.8.2009 6:11 <OT> Tak to je presne typ nadpisu, aky sa na dsl.sk hodi. Nezrozumitelny, nejednoznacny, otrasny, samobicyklujuci... OMFG. Ked uz naberiete brigadnikov, skuste aj nejakeho korektora. Ved toto tak kolie oci... </OT> Odpovedať Známka: 10.0 Hodnotiť:

Re: zajtra Hortenzia Od: El nino | Pridané: 4.8.2009 8:43 KOLE oči...nie kolie,hihi Odpovedať Známka: 5.0 Hodnotiť:

repozitory EXISTUJE Od: Jeden Niekto | Pridané: 4.8.2009 7:50 no, teda repozitory v pravom zmysle slova to nie je, ale: Microsoft umoznuje (po dohode) vyrobcom programov, aby na windows update zverejnili svoj odkaz na vlastny server s vlastnymi opravami (vraj uz vyuziva HP a nejaky antivir). Funguje od windowsAutoupdate klienta 3.0 (automaticky Vista+ alebo rucne stiahnut z windowsUpdate) Odpovedať Hodnotiť:

aaaaa Od: h34r | Pridané: 4.8.2009 12:22 cudujem sa, ze tak paranoidny a totalne zablackboxovany program ako SKYPE trpi na takuto zranitelnost. Tipoval by som, ze prave SKYPE bude integritu updatu overovat dvadsiatimi podpismi, bude 300 krat zasifrovany a este kazdy kilobajt bude podpisany inym klucom. Odpovedať Hodnotiť:

Pridať komentár