O Security Pro Protector detecta um novo ataque SSL em muitos sites

Um consultor de segurança de computadores de Seattle diz que desenvolveu uma nova maneira de explorar um bug divulgado recentemente no protocolo SSL, usado para proteger as comunicações na Internet. O ataque, embora difícil de executar, poderia dar aos atacantes um poderoso ataque de phishing.

Frank Heidt, CEO do Leviathan Security Group, diz que seu código de prova de conceito "genérico" poderia ser usado para atacar uma variedade de sites.. Embora o ataque seja extremamente difícil de ser realizado - o hacker primeiro teria que fazer um ataque man-in-the-middle, executando um código que comprometa a rede da vítima - poderia ter conseqüências devastadoras.

O ataque explora o bug do Gap de autenticação SSL (Secure Sockets Layer), divulgado pela primeira vez em 5 de novembro. Um dos descobridores do bug SSL, Marsh Ray na PhoneFactor, diz que viu uma demonstração do ataque de Heidt e está convencido de que poderia funcionar. "Ele mostrou para mim e é o negócio real", disse Ray.

[Leitura adicional: Como remover malware do seu PC com Windows]

A falha de autenticação SSL dá ao atacante uma maneira de alterar os dados enviados para o servidor SSL, mas ainda não há como ler as informações que estão voltando. Heidt envia dados que fazem com que o servidor SSL retorne uma mensagem de redirecionamento que, em seguida, envia o navegador da Web para outra página. Ele então usa essa mensagem de redirecionamento para mover a vítima para uma conexão insegura onde as páginas da Web podem ser reescritas pelo computador de Heidt antes de serem enviadas para a vítima. "Frank mostrou uma maneira de alavancar esse ataque cego de injeção de texto simples um consenso completo da conexão entre o navegador e o site seguro ", disse Ray.

Um consórcio de empresas de Internet tem trabalhado para consertar a falha desde que os desenvolvedores do PhoneFactor a descobriram há vários meses. Seu trabalho ganhou nova urgência quando o bug foi divulgado inadvertidamente em uma lista de discussão. Especialistas em segurança têm debatido sobre a severidade desta última falha SSL desde que se tornou de conhecimento público. Na semana passada, o pesquisador da IBM Anil Kurmus mostrou como a falha poderia ser usada para enganar os navegadores a enviarem mensagens do Twitter contendo senhas de usuários. Este último ataque mostra que a falha poderia ser usada para roubar todo tipo de informação confidencial de sites seguros, disse Heidt.

Para ser vulnerável, os sites precisam fazer algo chamado renegociação de cliente sob SSL e também ter algum elemento em sua conta. páginas da Web seguras que poderiam gerar uma mensagem de redirecionamento 302.

Muitos sites bancários e de comércio eletrônico de alto perfil não retornarão essa mensagem de redirecionamento 302 de uma maneira que possa ser explorada, mas um "grande número" de sites poderia ser atacado, Heidt disse.

Com tantos sites na Web em risco de falha, Heidt diz que não pretende liberar seu código imediatamente.

Do ponto de vista da vítima, a única mudança perceptível durante um ataque é que o navegador no lo O nger parece estar conectado a um site SSL. O ataque é semelhante ao ataque SSL Strip demonstrado por Moxie Marlinspike [cq] em uma conferência de segurança no início deste ano.

O Leviathan Security Group criou uma ferramenta que os webmasters podem usar para ver se seus sites estão vulneráveis ​​a falhas de autenticação SSL Como o SSL e seu padrão de substituição, o TLS, são usados ​​em uma ampla gama de tecnologias da Internet, o bug tem implicações de longo alcance.

Thierry Zoller, consultor de segurança da G-Sec, diz que, teoricamente, a falha pode ser usada para atacar servidores de email. "Um invasor pode potencialmente enviar e-mails de highjack por meio de conexões SMTP seguras, mesmo se elas forem autenticadas por um certificado privado", disse ele em uma entrevista por mensagem instantânea. Zoller, que não viu o código de Leviathan, disse que se o ataque funcionar como anunciado, será apenas uma questão de dias antes que alguém descubra como fazê-lo.