Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Csendesen rúgjuk be az Oracle ajtaját

2012.09.29. 12:00 | buherator | Szólj hozzá!

Esteban Fayó olyan módszert mutatott be a múlt heti Ekoparty konferencián, melynek alkalmazásával anélkül pörgethetők ki az Oracle adatbázisok jelszavai, hogy akár egyetlen sikertelen belépési kísérlet is naplózásra kerülne a szerveren, ráadásul a támadás offline (vagyis iszonyú gyorsan) végezhető.

Fayó akkor figyelt fel a problémára, mikor azt tapasztalta, hogy bizonyos sikertelen belépési kísérletek nem kerülnek rögzítésre az RDBMS naplóiban. Némi nyomozás után félelmetes felfedezés született: az Oracle saját autentikációs protokollja (O5LOGON) a kliensek csatlakozásakor elküldi a session kulcsot valamint a felhasználói jelszó hasheléséhez használt salt értéket, a session kulcsból pedig maga a hash is kikövetkeztethető (csak nekem jut eszembe az ISAKMP aggresive mode?)! Az információk kinyerése után a kapcsolat lebontható, a kiszolgáló pedig úgy tesz, mintha mi sem történt volna. 

Bár a támadás pontos részletei egyelőre nem nyilvánosak, a fenti információk birtokában némi reverse-engineering segítségével kinyomozhatók az Oracle kódolásának részletei. Az Oracle az adatbáziskezelő 11.2.0.3-as változatában adta ki a protokoll javított változatát, ez azonban nincs bekapcsolva alapértelmezetten. Fontos megjegyezni, hogy ez nem egy CPU-s folt volt, hanem egy új release, ilyen javítás a 10.2, 11.1 és 11.2-es változatokhoz októberben várható. 

A problémára további ideiglenes megoldást jelenthet a régi O3LOGON protokollra, vagy külső hitelesítő szolgáltatásra történő átállás. Az Oracle ezen kívül a legalább 12 karakteres jelszavak használatát javasolja, ami  a tapasztalat szerint sci-fi a gyakorlatban. Az Oracle mindezt a 1492721.1-es azonosítójú support doksiban részletezi a fizető ügyfeleknek. 

Címkék: oracle hash o5logon brute-force

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.