Ευπάθειες σε password managers μπορούν να χρησιμοποιηθούν από χάκερς
infosec

Ευπάθειες σε password managers μπορούν να χρησιμοποιηθούν από χάκερς

Οι ερευνητές του ISE δήλωσαν την Τρίτη ότι οι password managers 1Password, KeePass, LastPass και Dashline έχουν ευπάθειες που θα...
Read More
infosec

Το Rietspoof malware εξαπλώνεται μέσω Facebook Messenger και Skype

Σε μια έκθεση που δημοσιεύθηκε το Σάββατο (16 Φεβρουαρίου), οι ερευνητές περιέγραψαν ένα νέο malware, τo οποίo χαρακτήρισαν ως «κακόβουλο...
Read More
infosec

Κινέζοι και Ιρανοί hacker ανανεώνουν τις επιθέσεις τους στις Αμερικάνικες εταιρείες

Επιχειρήσεις και κυβερνητικές υπηρεσίες στις Ηνωμένες Πολιτείες έχουν γίνει στόχος επιθέσεων από Ιρανούς και Κινέζους hacker που οι ειδικοί της...
Read More
infosec

Το Microsoft Teams εκτός λειτουργίας. Επιτυχής αποκατάσταση

Ο μεγάλος ανταγωνιστής του Slack της Microsoft, το Microsoft Teams, βρέθηκε εκτός λειτουργίας χτες. Οι χρήστες αντιμετώπισαν προβλήματα σύνδεσης με...
Read More
infosec

Hacked από Ινδούς το website του Υπουργείου Εξωτερικών του Πακιστάν

Εν μέσω έντονων εντάσεων μεταξύ Ινδίας και Πακιστάν μετά από τη θανατηφόρα επίθεση Pulwama στις 14 Φεβρουαρίου, το Σάββατο, ο...
Read More
Latest Posts

[ΑΠΟΚΛΕΙΣΤΙΚΟ] Έλληνας ερευνητής εντόπισε αδυναμία στο site ekloges.ypes.gr των Εκλογών 2014!(+Upd)

ekloges.ypes_.gr_

Η ημέρα των αυτοδιοικητικών εκλογών εκτός από τα απρόοπτα κατά γενική ομολογία των εκλογικών αποτελεσμάτων και την πανωλεθρία των exit-polls, φαίνεται ότι έχει  ιδιαίτερο ενδιαφέρον και από πλευράς ασφάλειας συστημάτων και κυρίως αναφορικά με την ασφάλεια της επίσημης ιστοσελίδας ανακοίνωσης των αποτελεσμάτων ekloges.ypes.gr

[Update] Πλέον η αδυναμία έχει επιδιορθωθεί αποδεικνύοντας σαφώς την εγρήγορση των υπευθύνων έστω και για μια χαμηλής σημαντικότητας αδυναμία. Οφείλουμε να αναφέρουμε ότι η αντίδραση ήταν άμεση (εντός ελαχίστων λεπτών) από τους ιθύνοντες ακόμα και για μια αδυναμία XSS που δεν δημιουργεί πρόβλημα ή διαρροή δεδομένων! Σαφώς λοιπόν το σύστημα προστασίας που έχει δομηθεί για την διενέργεια των εκλογών επέδειξε εξαιρετικά ταχύτατα αντανακλαστικά, όπως είχε γίνει και στο παρελθόν με εξίσου μεγάλη επιτυχία, με αποτροπή εκατοντάδων επιθέσεων!

Σύμφωνα με ΑΠΟΚΛΕΙΣΤΙΚΕΣ πληροφορίες που κοινοποιήθηκαν στην συντακτική ομάδα του SecNews, Έλληνας ερευνητής εντόπισε αδυναμίες ασφάλειας στην ιστοσελίδα ανακοίνωσης των αποτελεσμάτων του Υπουργείου Εσωτερικών!

Οι πληροφορίες που απεστάλησαν στην συντακτική ομάδα του SecNews, μερικές ώρες νωρίτερα από Έλληνα ερευνητή ασφάλειας -τα στοιχεία του οποίου παραμένουν στην διάθεση του SecNews- αναφέρουν την ύπαρξη αδυναμιών XSS, που μπορούν να χρησιμοποιηθούν από εξωτερικούς επιτιθέμενους για αλλοίωση των δεδομένων στον browser του χρήστη.

Όπως αναφέρει χαρακτηριστικά ο ερευνητής, κάποιος με εξειδικευμένες γνώσεις μπορεί να αλλοιώσει το περιεχόμενο των session του χρήστη. Επισυνάπτουμε τα Screenshots – αποδείξεις ύπαρξης της αδυναμίας, όπως εμφανίζονται στον browser συντάκτη του SecNews που έλεγξε επιτυχώς την ύπαρξη της αδυναμίας σύμφωνα με τις οδηγίες του ερευνητή.

Οι υποδεικνυόμενες από τον ερευνητή αδυναμίες είναι:

Επιτρέπει εισαγωγή μηνύματος στο session του χρήστη από τον επίδοξο επιτιθέμενο

ekloges.ypes.gr.1

 

Επιτρέπει ανακατεύθυνση του χρήστη προς ιστοσελίδα επιλογής του επιτιθέμενου-hacker (στο παράδειγμά μας google.com)

ekloges.ypes.gr.2

  • Race Condition (επιτυχία 50% περίπου σύμφωνα με τον ερευνητή) με αλλαγή του τίτλου της ιστοσελίδας σε blah

http://ekloges.ypes.gr/may2014/dn/public/index.html#window.addEventListener(‘load’, function(){document.getElementById(‘ext-comp-1015’).innerHTML=’blah’})

Ως γνωστόν οι αδυναμίες XSS είναι χαμηλής επικινδυνότητας χωρίς να είναι εφικτό να οδηγήσουν άμεσα σε αλλοίωση της ιστοσελίδας ή πρόσβαση στον εξυπηρετητή αλλά μπορούν να χρησιμοποιηθούν έμμεσα για αλλοίωση του περιεχομένου σε επίπεδο χρήστη (user-session). Σε ιστοσελίδες συγκεκριμένης κατηγορίας (όπως E-shops, Μηχανές αναζήτησης ή ιστοσελίδες που επιτρέπουν αυθεντικοποίηση χρηστών) όπου το Phishing μπορεί να αποφέρει ανακατεύθυνση επισκεπτών, πρέπει να λαμβάνονται σοβαρά υπόψη και να επιδιορθώνονται άμεσα.

Η ύπαρξη της εν λόγω αδυναμίας είναι ιδιαίτερα σημαντική λόγω της φύσης της ιστοσελίδας και της ακρίβειας αποτελεσμάτων που απαιτείται να εμφανίζονται προς τους χρήστες της. Συνεπώς στην συγκεκριμένη περίπτωση η αδυναμία XSS κρίνετε ως εξαιρετικά σημαντική για την ακρίβεια των απεικονιζόμενων δεδομένων. Όπως αναφέρει ο ερευνητής

[box_info]

Σίγουρα κάποιος με γνώσεις javascript μπορεί να “παίξει” με το περιεχόμενο που εμφανίζεται στο session του χρήστη.

Η επίτευξη 100% των δοκιμών είναι στο χέρι αυτού που θα ασχοληθεί και των γνώσεων που κατέχει (μιας και οι δικές μου είναι σχετικά μικρές στο συγκεκριμένο αντικείμενο).

[/box_info]

Εκτιμούμε ότι οι διαχειριστές του Υπουργείου Εσωτερικών αλλά και οι υπεύθυνοι διαχειριστές της εταιρείας Singular Logic που διαχειρίζεται το σύστημα αποτελεσμάτων των εκλογών, οφείλουν να επιδιορθώσουν άμεσα την αδυναμία που υποδεικνύει ο ερευνητής, τουλάχιστον μέχρι την ερχόμενη Κυριακή, ημέρα επαναληπτικής διεξαγωγής των εκλογών αλλά και των ευρωεκλογών για την αξιόπιστη και χωρίς πιθανότητα αλλοίωσης στον browser του χρήστη απεικόνιση δεδομένων.

Αξίζει να σημειωθεί ότι η αδυναμία σε καμία περίπτωση δεν επηρεάζει τα αποτελέσματα, τον εξυπηρετητή ή την μετάδοση των αποτελεσμάτων. ΤΟ μόνο που μπορεί να επηρεαστεί είναι η απεικόνιση προς τον χρήστη σε περίπτωση που του έχει αποσταλεί SPAM Phishing message με τους συνδέσμους που αναφέρονται παραπάνω. Οι XSS αδυναμίες χαρακτηρίζονται από τους ειδικούς γενικά  ως αδυναμίες χαμηλής επικινδυνότητας .

 Το SecNews ευχαριστεί τον Έλληνα ερευνητή ασφάλειας για την έγκαιρη και έγκυρη ενημέρωση

[UPDATE1-15.20-19/5/2014] Η αδυναμία, σύμφωνα με νεότερες πληροφορίες χαρακτηρίζετε χαμηλής σημαντικότητας. Δεν δημιουργεί κανένα πρόβλημα στα στοιχεία του εξυπηρετητή, όπως σαφώς αναφέρθηκε και από το post και όποια ζητήματα προκύπτουν έχουν ήδη επιλυθεί και ληφθεί υπόψη κατά τον σχεδιασμό της εφαρμογής.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Comments

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *