Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
junio
(Total:
48
)
-
WD recuperará los datos borrados durante el ataque...
-
GitHub presenta Copilot; herramienta capaz de auto...
-
A la venta base de datos con datos del 92% usuario...
-
Herramientas gratuitas análisis forense digital
-
Windows 11 TPM; requisitos y características
-
Trickbot: botnet malware-as-a-service
-
Tecnología GPON - FTTH
-
Graves vulnerabilidades NAS WD My Book Live provoc...
-
Microsoft presenta oficialmente Windows 11
-
Navegador Brave publica nuevo buscador basado en l...
-
Disponible nueva versión navegador Tor corrige err...
-
Ransomware DarkRadiation afecta a Linux y contened...
-
La plataforma en la nube de la OTAN ha sido hackeada
-
Guía NSA sobre la protección de las comunicaciones...
-
Actualizaciones de seguridad para Microsoft y Goog...
-
Malware sin nombre fue capaz de robar 26 millones ...
-
Filtración datos de 3.3 millones clientes Volkswag...
-
Detenido en Málaga por un ataque informático a la ...
-
Detenidos 6 miembros del grupo de ransomware Clop ...
-
Recopilaron datos privados de 1.000 millones usuar...
-
Filtrada primera ISO de Windows 11
-
Filtran datos de 16,7 millones de usuarios de Fotolog
-
Vulnerabilidad desde hace 7 años en Polkit de Linu...
-
El grupo ransomware Avaddon cierra y entrega llave...
-
Historia del Ransomware Ruyk: el más prolífico ata...
-
CD Projekt asegura que los datos robados tras el h...
-
EA ha sido hackeada: 780GB datos robados incluyen ...
-
JBS pagó un rescate de 11 millones de dólares al r...
-
ALPACA, un nuevo tipo de ataque Man in the Middle ...
-
El Salvador es el primer país en legalizar el Bitc...
-
Ransomware PYSA publica contratos y nóminas de los...
-
RockYou2021: la mayor recopilación de contraseñas ...
-
800 criminales arrestados gracias a las escuchas d...
-
Estados Unidos recupera gran parte del rescate pag...
-
TikTok podrá recopilar todos tus datos biométricos...
-
CISA publica guía MITRE ATT & CK para analistas de...
-
Próximas novedades del futuro Windows 11
-
FujiFilm confirma que fue victima de un ataque de ...
-
A la venta Base de Datos robada de la página web d...
-
Nuevo timo por WhatsApp: "regalos gratis para todo...
-
Empresa dedicada a los backups, paga 2.6 millones ...
-
2 autores de Carbanak (Troyano Bancario) condenado...
-
El FBI confirma que el mayor productor de carne de...
-
Alertan App's bancarias maliciosas con el troyano ...
-
Disponible nueva versión de Kali Linux 2021.2
-
Nuevos grupos de ransomware: Prometheus, Grief, Ep...
-
Los dispositivos de Amazon compartirán automáticam...
-
Google dificultó escondiendo los ajustes de locali...
-
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de... -
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
ALPACA, un nuevo tipo de ataque Man in the Middle en HTTPS
Un grupo de investigadores de varias universidades de Alemania, los cuales ha desarrollado un nuevo método de ataque MITM contra HTTPS, que permite extraer cookies con ID de sesión y otros datos sensibles, así como ejecutar código JavaScript arbitrario en el contexto de otro sitio. El ataque se llama ALPACA y se puede aplicar a servidores TLS que implementan diferentes protocolos de capa de aplicación (HTTPS, SFTP, SMTP, IMAP, POP3), pero usan certificados TLS comunes. El ataque permitiría redirigir el tráfico del navegador a un servicio diferente con el fin de acceder o exfiltrar información sensible.
El ataque llamado ALPACA, siglas en inglés de “Confusión de protocolo de la capa de aplicación – Analizando y mitigando grietas en la autenticación TLS”, por el grupo de investigadores de 3 universidades alemanas. "Application Layer Protocol Confusion - Analyzing and mitigating Cracks in TLS Authentication"
La investigación será presentada en el Black Hat USA y en el USENIX Security Symposium en 2021.
Ataque a TLS por confusión de protocolos
Dado que el protocolo TLS es universal y no está vinculado a los protocolos de nivel de aplicación, el establecimiento de una conexión encriptada para todos los servicios es idéntico y un error al enviar una solicitud al servicio incorrecto se puede detectar solo después del establecimiento de una sesión encriptada durante el procesamiento. de los comandos de la solicitud enviada.
En consecuencia, si, por ejemplo, redirige la conexión de un usuario, inicialmente dirigida a HTTPS, a un servidor de correo que utiliza un certificado común con el servidor HTTPS, la conexión TLS se establecerá correctamente, pero el servidor de correo no podrá procesar los comandos HTTP transmitidos y devolverá una respuesta con un código de error. Esta respuesta será procesada por el navegador como una respuesta del sitio solicitado, transmitida dentro de un canal de comunicación cifrado correctamente establecido.
Se proponen tres opciones de ataque:
- «Upload» para recuperar la Cookie con parámetros de autenticación: El método es aplicable si el servidor FTP cubierto por el certificado TLS le permite descargar y recuperar sus datos. En esta variante del ataque, un atacante puede lograr la preservación de partes de la solicitud HTTP original del usuario, como el contenido del encabezado de la Cookie, por ejemplo, si el servidor FTP interpreta la solicitud como un archivo a guardar o lo registra por completo. solicitudes entrantes. Para un ataque exitoso, un atacante necesita recuperar de alguna manera el contenido almacenado. El ataque es aplicable a Proftpd, Microsoft IIS, vsftpd, filezilla y serv-u.
- «Download» para secuencias de comandos entre sitios (XSS): El método implica que un atacante, como resultado de algunas manipulaciones independientes, puede colocar datos en un servicio utilizando un certificado TLS común, que luego se puede emitir en respuesta a una solicitud del usuario. El ataque es aplicable a los servidores FTP, servidores IMAP y servidores POP3 antes mencionados (courier, cyrus, kerio-connect y zimbra).
- Reflection para ejecutar JavaScript en el contexto de otro sitio: El método se basa en devolver una parte de la solicitud al cliente, que contiene el código JavaScript enviado por el atacante. El ataque es aplicable a los servidores FTP antes mencionados, los servidores IMAP cyrus, kerio-connect y zimbra, así como al servidor SMTP sendmail.
Por ejemplo, cuando un usuario abre una página controlada por un atacante, se puede iniciar una solicitud de un recurso desde un sitio en el que el usuario tiene una cuenta activa desde esta página. En un ataque MITM, esta solicitud al sitio web se puede redirigir a un servidor de correo que comparte un certificado TLS.
Dado que el servidor de correo no finaliza la sesión después del primer error, los encabezados de servicio y los comandos se procesarán como comandos desconocidos.
El servidor de correo no analiza los detalles del protocolo HTTP y para ello los encabezados de servicio y el bloque de datos de la solicitud POST se procesan de la misma manera, por lo tanto, en el cuerpo de la solicitud POST, puede especificar una línea con el comando al servidor de correo.
En pocas palabras, los ataques toman la forma de un esquema de intermediario (MitM) en el que el actor malintencionado atrae a una víctima para que abra un sitio web bajo su control para activar una solicitud HTTPS de origen cruzado con una carga útil FTP especialmente diseñada. Luego, esta solicitud se redirige a un servidor FTP que utiliza un certificado que es compatible con el del sitio web, lo que culmina en una sesión TLS válida.
En consecuencia, la configuración incorrecta en los servicios TLS puede explotarse para filtrar las cookies de autenticación u otros datos privados al servidor FTP (ataque de carga), recuperar una carga útil JavaScript maliciosa del servidor FTP en un ataque XSS almacenado (ataque de descarga) o incluso ejecutar un reflejó XSS en el contexto del sitio web de la víctima (Reflection Attack).
Se espera que todos los servidores TLS que tienen certificados compatibles con otros servicios TLS se vean afectados. En una configuración experimental, los investigadores encontraron que al menos 1.4 millones de servidores web eran vulnerables a ataques de protocolos cruzados, y 114.197 de los servidores se consideraban propensos a los ataques utilizando un servidor SMTP, IMAP, POP3 o FTP explotable con un certificado confiable y compatible.
Para contrarrestar los ataques entre protocolos, los investigadores proponen utilizar extensiones de negociación de Application Layer Protocol Negotiation (ALPN) y Server Name Indication (SNI) para TLS. Los mismo se pueden utilizar al momento del Handshake para informar de forma segura al servidor sobre el protocolo previsto que se desea utilizar y el nombre de host al que se está intentando conectar.
Muchos proveedores han actualizado sus servidores de aplicaciones para eliminar vectores de explotación o agregar contramedidas en la capa de aplicación y/o implementación de TLS. Los encargados de mantenimiento de la biblioteca TLS han revisado las implementaciones de ALPN y SNI y han actualizado su código y documentación para permitir una fácil implementación de contramedidas por parte de los desarrolladores. Para evitar los ataques en el modelo de atacante de navegador puro, los proveedores de navegadores han bloqueado más puertos de aplicaciones estándar y han desactivado el rastreo de contenido en más escenarios.
Las respuestas específicas se enumeran a continuación:
- Microsoft Internet Explorer bloqueó más puertos de servidor que no eran HTTP y deshabilitó el rastreo de contenido para solicitudes HTTP a puertos no estándar (CVE-2021-31971).
- Sendmail corrigió un error para detectar solicitudes HTTP cuando se usa STARTTLS y, desde Sendmail 8.17, existen contramedidas adicionales en la capa de aplicación para bloquear las solicitudes HTTP.
- Courier 5.1.0 implementó soporte para ALPN.
- FileZilla implementó contramedidas en la aplicación y la capa TLS.
- Vsftpd 3.0.4 implementó contramedidas en la aplicación y la capa TLS.
- Nginx 1.21.0 implementó mitigaciones en la capa de aplicación en el proxy de correo.
- Crypto / TLS (Go) ahora impone la superposición de ALPN cuando se negocia en ambos lados.
Fuentes:
https://blog.underc0de.org/alpaca-un-nuevo-tipo-de-ataque-man-in-the-middle-en-https/
https://unaaldia.hispasec.com/2021/06/ataque-a-tls-por-confusion-de-protocolos.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.