Tấn công giả mạo Exchange Server nhắm vào các thiết bị Android, iOS


Nếu sử dụng thiết Android hoặc iOS để kết nối tới máy chủ Microsoft Exchange qua môi trường Wi-Fi thì dữ liệu và các thiết lập trên thiết bị của bạn có thể bị phá hủy hoặc thậm chí tài khoản email của bạn có thể bị đánh cắp. Nhà nghiên cứu Peter Hannay đến từ Viện Nghiên cứu An toàn Thông tin thuộc trường Đại học Edith Cowan của Úc đã mô tả và chứng minh phương thức tấn công chống lại các máy chủ Exchange này tại Hội thảo Bảo mật Black Hat ở Las Vegas vào hôm qua.

Các thiết bị Android và iOS khi khởi tạo kết nối tới các máy chủ Exchange có sử dụng một chứng chỉ SSL tự ký thì vẫn sẽ chấp nhận truyền thông với các máy chủ đó ngay cả khi các chứng chỉ SSL của chúng là giả mạo.

“Điểm chính yếu ở đây là cách mà các thiết bị này xử lý quy trình mã hóa và xác minh chứng chỉ, vì vậy mà đây là lỗi thuộc về các hàm hiện thực giao thức SSL được cài đặt trên các thiết bị này.”, Hanney nói với website Ars trước khi trình diễn kỹ thuật này tại Black Hat vào hôm thứ 5. “Nhẽ ra những thiết bị này nên phản ứng rằng chứng chỉ SSL thực sự không hợp lệ, không có chi tiết nào là xác thực. Và “tôi” sẽ không kết nối tới máy chủ đó đâu.”

Hannay đã phát triển một phương thức tấn công mà sử dụng mạng Wi-Fi để xây dựng một máy chủ Exchange giả mạo với một chứng chỉ tự ký (self-signed certificate) thay vì chứng chỉ được cấp phát bởi một CA đáng tin cậy như Verisign. Các thiết bị là đích nhắm của cuộc tấn công này hiện diện trên cùng mạng với kẻ tấn công sẽ gặp thất bị khi cố gắng kết nối tới máy chủ Exchange mà nó thường dùng. Thay vào đó, nó sẽ khởi tạo phiên truyền thông với máy chủ mạo danh của Hannay.

Sử dụng một chứng chỉ SSL cho máy chủ Exchange là nhằm bảo vệ nó trước kiểu tấn công Man-in-the-Middle. Các thiết bị được mong đợi là chỉ nên kết nối khi chứng chỉ của máy chủ mang một khóa công khai được xác thực. Nhưng điều này không phải lúc này cũng xảy ra, nhà nghiên cứu Hannay nói.

Cụ thể, các thiết bị Android luôn chấp nhận kết nối tới máy chủ Exchange với một chứng chỉ tự ký ngay cả khi chứng chỉ SSL của nó bị làm giả hoặc chứa các thông tin không có hiệu lực. Các thiết bị iOS thì xử lý khôn ngoan hơn tí trước bài kiểm tra của Hannay: chúng đưa ra thông điệp cảnh báo nhưng vẫn cho phép người dùng bỏ qua và tiếp tục kết nối. Ngược lại, các thiết bị chạy Microsoft Windows Phone đưa ra thông báo lỗi và đồng thời từ chối kết nối của người dùng.

Sau khi thiết bị kết nối tới máy chủ giả mạo được sử dụng trong thí nghiệm của Hannay thì một tập tin script được viết để thi hành từ xa một câu lệnh nhằm xóa nội dung và khôi phục các thiết lập mặc định trên thiết bị. Kẻ tấn công cũng có thể lấy được các tài khoản của người dùng để đăng nhập trái phép về sau.

“Điều quá đơn giản, dễ làm này thực sự làm tôi lo lắng,” Hannay nói. Toàn bộ cuộc tấn công chỉ cần tới 40 dòng mã Python và tập trung vào việc điều khiển kết nối của người dùng.

Như đã nói ở trên, tấn công này chỉ nhắm vào các điện thoại kết nối tới máy chủ Exchange được bảo vệ bởi một chứng chỉ SSL tự ký. Hannay nói rằng hầu hết các tổ chức có số lượng nhân viên ít hơn 50 người thường sử dụng một chứng chỉ tự ký như vậy thay vì bỏ tiền được cấp một chứng chỉ được ký bởi một CA có uy tín.

Google và Apple vẫn chưa có phản hồi nào qua e-mail cho vấn đề này. Một đại diện của Microsoft nói rằng các thành viên trong nhóm Exchange của công ty đang xem xét bản báo cáo này của Hannay.

manthang – HVA News
(Theo Arstechnica.com)

Tham khảo:
http://arstechnica.com/security/2012/07/spoofing-microsoft-exchange-server-how-to/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s