|
|
Preuve de concept pour subtiliser des mots de passe Twitter en MITM via la faille SSL/TLS
Par Rédaction,
secuobs.com
Le 17/11/2009
Résumé : Publication d'une preuve de concept exploitant les caractéristiques de la récente faille qui affecte l'utilisation des protocoles SSL/TLS. Ce code autorisait le vol des mots de passe Twitter via une attaque Man In The Middle sur des requêtes HTTPS initiées par une victime depuis une application tierce. - Lire l'article
Un étudiant turc vient de démontrer une exploitation réelle des caractéristiques qui ont été mises en avant par la récente faille ( lien ) affectant l'utilisation des protocoles SSL/TLS ( lien ). Cette vulnérabilité avait été rendue publique ( lien ) la semaine dernière par Steve Dispensa et Marsh Ray de la société PhoneFactor ( lien ). Les impacts avaient alors été minimisés de par la complexité de son exploitation et les limitations quant aux résultats pouvant être obtenus.
Si un attaquant peut en effet injecter des données au sein d'une session SSL/TLS, via une attaque de type Man In The Middle ( lien ), cela ne lui permet pas pour autant de pouvoir lire en clair les données qui y sont échangées. Anil Kurmus a cependant réussi à exploiter certains aspects de cette vulnérabilité afin de subtiliser les données d'authentification Twitter qui transitent entre des applications tierces, utilisant l'API Twitter ( lien ), et les serveurs HTTPS correspondant.
Les attaquants vont en fait intercepter, au sein des sessions SSL/TLS, les requêtes HTTPS initiées par les victimes afin d'y injecter un code permettant de rediriger le contenu vers leur propre compte Twitter et cela sous la forme de messages Tweet. Chaque requête, utilisant l'API, inclue les données d'authentification des comptes Twitter utilisés, ces Tweets contiendront donc les identifiants et les mots de passe d'accès que les attaquants n'auront alors plus qu'à récupérer
La vulnérabilité a été fixée par Twitter en début de semaine. Par ailleurs, des variations de cette attaque pourraient éventuellement permettre de subtiliser ( lien ) des cookies ( lien ) d'authentification sur d'autres services en ligne. A noter que le protocole HTTPS n'est pas le seul à utiliser SSL/TLS. OpenSSL met à disposition, en ce sens, un correctif (cf. 0.9.8l - lien ), visant à désactiver les éléments qui autorisent les re-négociations des sessions SSL/TLS.
Le post d'Anil Kurmus ( lien )
La preuve de concept Twitter ( lien )
La preuve de concept MITM SSL/TLS ( lien )
L'outil SSL/TLS Client Renegotiation Vulnerability Test ( lien )
Source : Compte Twitter @michaelmknight ( lien )
- Article suivant : Publication de la version stable 3.3 de la plateforme d'exploitation Metasploit
- Article précédent : Wallix lance une nouvelle version de son WAB
- Article suivant dans la catégorie Failles : Les imprimantes réseau, toujours un maillon faible de la sécurité informatique
- Article précédent dans la catégorie Failles : ActionScript facilite le Heap Spraying pour l'exploitation des vulnérabilités Microsoft Office
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
