Новая атака на NTP позволяет воспользоваться просроченными сертификатами - 22 Октября 2015 - mugehome

Главная Регистрация Вход

Суббота, 18.05.2024, 18:57

Мой сайт

Приветствую Вас, Гость | RSS

Меню сайта

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Главная » 2015 » Октябрь » 22 » Новая атака на NTP позволяет воспользоваться просроченными сертификатами

18:22 Новая атака на NTP позволяет воспользоваться просроченными сертификатами
Группа исследователей из Бостонского университета разработала серию новых методов атаки (PDF) на клиентские и серверные системы, использующие протокол NTP для синхронизации времени без применения аутентификации. Проблемы проявляются в пакете ntpd и устранены в выпущенной вчера версии 4.2.8p4 (всего исправлено 13 уязвимостей). Большинство выявленных уязвимостей позволяют осуществить отказ в обслуживании и заблокировать процесс синхронизации времени. Две проблемы дают возможность добиться установки фиктивного времени. В частности, проблема с обработкой фрагментированных IPv4-пакетов позволяет атакующему сместить показания системных часов на произвольное время в прошлое, направив на систему жертвы поток специально оформленных NTP-пакетов. Для успешного проведения атаки NTP-сервер должен принимать запросы PMTU (Path MTU Discovery) для фрагментирования пакетов с их приведением к MTU в 68 байт. Проверить свои системы на наличие уязвимости можно через данную форму. На первый взгляд изменение показания часов выглядит безобидной шалостью, но на деле может применяться для совершения комплексных атак на системы шифрования. В частности, смещение времени позволяет организовать работу с просроченными или изъятыми TLS-сертификатами, обойти проверки DNSSEC, игнорировать ограничения HSTS и инициировать отклонение легитимных записей в цепочке криптовалюты Bitcoin. Например, атакующий может сместить время на системе жертвы на середину 2014 года и воспользоваться одним из ста тысяч отозванных сертификатов, скомпрометированных в результате уязвимости Heartbleed, или перевести часы на 2008 год и применить сертификат, выписанный без достаточной энтропии на системах с проблемным пакетом OpenSSL в Debian. Также можно воспользоваться смещением времени для использования подобранных 1024-разрядных ключей RSA на сайтах уже отозвавших ненадёжные RSA-сертификаты.
1 2 3 4 5 Просмотров: 181 \| Добавил: muge \| Рейтинг: 0.0/0

Всего комментариев: 0

Форма входа

Поиск

Календарь

Друзья сайта

Официальный блог

Сообщество uCoz

FAQ по системе

Инструкции для uCoz