Xakep #305. Многошаговые SQL-инъекции
Если во время проведения платежей через PayPal ты используешь Internet
Explorer, Google Chrome или Apple Safari для Windows, самое время задуматься о
переходе на более
безопасный Firefox.
А все потому, что вчера один из хакеров опубликовал фальшивый SSL-сертификат,
эксплуатирующий зияющую дыру в библиотеке CryptoAPI от Microsoft, с которой
работают эти браузеры. Хотя сертификат поддельный, все три веб-обозревателя
принимают его за легитимный SSL-сертификат, подтверждающий подлинность PayPal.
Несмотря на то, что данный баг был
продемонстрирован Мокси
Марлинспайком более девяти недель назад, в Microsoft его все еще не закрыли.
Опубликованный в понедельник так называемый "нуль-префикс сертификат" для
PayPal – это серьезный удар по сетевой безопасности, поскольку теперь
киберпреступники могут с легкостью преодолевать одну из самых старейших и
надежных систем защиты от атак "man-in-the-middle". PayPal и тысячи других
финансовых веб-сайтов используют такие сертификаты для генерирования цифровой
подписи, подтверждающей, что страница авторизации не была подсунута пользователю
злоумышленниками, следящими за его попытками получить доступ к тому или иному
ресурсу.
Несмотря на то, что опубликованный в понедельник сертификат является
демонстративно фальшивым, его все равно можно использовать вместе с выпущенной
ранее хакерской утилитой SSLSniff и добиться того, что браузеры не будут
выдавать никакого предупреждения при переходе на подставную страницу, даже если
ее адрес начинается с "https".
Представитель PayPal уже заявила о том, что в компании знают о существовании
поддельного сертификата и работают над тем, чтобы предпринять все те действия,
которые могут быть предприняты со стороны PayPal.
Последний сертификат использует уязвимость в CryptoAPI, позволяющую
игнорировать все знаки, следующие за символами "\" и "0". Чтобы воспользоваться
дырой, злоумышленнику нужно получить обычный сертификат своего сайта, а затем
вставить его имя и символ "0" сразу же после названия ресурса, за который он
желает выдать нужный ему веб-сайт.
В случае с PayPal строка будет выглядеть примерно так:
www.paypal.com\0ssl.secureconnection.cc
К счастью, разработчики из Mozilla пропатчили эту дыру уже через несколько
дней после того, как о ней было рассказано на конференции BlackHat, а спустя
несколько недель то же самое проделали и программисты Apple. Это значит, что
если ты используешь Windows, то на данный момент единственным способом защитить
себя от этого критического бага будет переход на Firefox 3.5 или 3.0.13 и выше.
По крайней мере, пока Microsoft не устранит проблему.