Un risque pour la s�curit� des terminaux d'injection de commande � distance, je regarde comment tester (r�impression)

avant-propos

R�cemment, nous avons un produit de s�curit� des terminaux populaires (Heimdal Thor) a trouv� une vuln�rabilit� d'injection de commande, en exploitant la vuln�rabilit� provoquerait le produit et le PC client expos� au risque de s�curit�.

Mais apr�s nous avons rapport� des vuln�rabilit�s, Heimdal r�soudre rapidement les probl�mes, mais il convient de mentionner que cette �chappatoire a touch� plus de 65 millions d'unit�s de PC d'ici un an.

informations CVE vuln�rabilit�: [] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8351

annonce officielle Heimdal: [https://support.heimdalsecurity.com/hc/en-us/articles/360001084158-Release-2-5-172-PROD-Update]

Cependant, Heimdal n'a pas mentionn� cette vuln�rabilit� d'injection de commande � distance ... apparemment dans l'annonce.

failles trouv�es

Cette vuln�rabilit� est d�couverte dans le temps, nous IOT tests automatis�s de p�n�tration. Dans le processus de test mat�riel, nous avons l'habitude mis en place un point d'acc�s WiFi, et essayer de rediriger les p�riph�riques de trafic r�seau par l'interception proxy (comme Burp Suite). Pourquoi? Parce que beaucoup de dispositifs embarqu�s ne sont pas � v�ritable identit� � du serveur pour v�rifier la possibilit� d'atteindre les attaques du milieu existeront ici.

D'une mani�re g�n�rale, si vous vous connectez � nos points d'acc�s WiFi � l'aide de ces Journal Windows, vous recevrez un grand nombre de certificats et un message d'erreur SSL / TLS, mais l'application ne sera pas le r�seau de connexion l�g�rement, de sorte qu'il ya un risque de s�curit�. Maintenant, la plupart des d�veloppeurs de logiciels sont d�j� au courant, v�rifier les objets de communication avec le trafic crypt� est tout aussi important.

attaques Moyen -MitM

Lors de l'essai de mat�riel, j'ai r�alis� une analyse en profondeur des flux Suite Burp. Comme pr�vu, l'�quipement d'essai est pas vraiment l'identit� du serveur de communication est v�rifi�e, cela permettra � la mise � jour je falsifier le firmware de l'appareil. Mais alors, j'ai trouv� une demande � diff�rents �, il est clair que la demande contient des informations d�taill�es sur les p�riph�riques Windows:

Apr�s A cette �poque, nos clients un personnel avec son ordinateur portable connect� � nos points d'acc�s Wi-Fi, a trouv� aussi un autre probl�me. En attendant, son �quipement dans la plupart tentative d'intervention logiciel pour capturer le comportement du trafic r�seau, le trafic r�seau et interrompu.

Mais la plupart ne signifie pas tout!

Nous avons constat� que le nom de domaine du mat�riel de communication pour coreservice.heimdalsecurity.com, il est clair que le � coupable � est le Heimdal Thor, mais ils semblent Int�gre �galement les aspects de la protection des terminaux et des mises � jour logicielles automatis�es.

Lorsque HeimdalThor effectuer des mises � jour logicielles automatiques, je l'ai trouv� t�l�chargera le logiciel � partir d'une liste JSON, qui contient l'URL, les informations de version, et ainsi de suite. Il y a � beforeInstallScript � et � afterInstallScript � Ces deux param�tres dans cette liste.

Par cons�quent, lorsque la mise � jour du logiciel client, commande embarqu� sera ex�cut�e:

ex�cution de commande arbitraire sur le client

produits Endpoint Protection avec les droits avanc�s, alors quand l'attaquant intercepte le trafic entre le p�riph�rique et le serveur, ils peuvent contr�ler votre �quipement.

Oui, tout d'abord un attaquant doit intercepter le trafic, mais le meilleur endroit est ouvert au point d'acc�s WiFi public. Ou que l'attaquant peut envahir un r�seau WiFi domestique (faible cl� PSK?), Envahissent alors l'environnement r�seau domestique PC.

Ceci est tr�s g�nant, parce que les utilisateurs de plomb dans les risques de s�curit�, ce sont ces � produits de s�curit�. �

Analyse de la vuln�rabilit�

Donc, ici � la fin il y avait genre de probl�me?

HeimdalThor est capable d'une autorisation de haut niveau pour ex�cuter le logiciel de s�curit� sur l'appareil de l'utilisateur, mais nous croyons que les niveaux de s�curit� et les normes de ce produit ne suffit pas ...

probl�me de v�rification de certificat doit �tre trouv� plus t�t:

1, de nombreux probl�mes de validation des certificats de s�curit� existent par exemple si elle devrait se trouver dans la phase de v�rification de code, mais aussi des probl�mes dans le processus de d�veloppement de produits ont �t� trouv�s � plusieurs reprises, mais il ne r�sout pas le temps de d�ploiement r�el.

2, devrait �tre une mise � jour majeure du logiciel ou mettre � jour plusieurs tests pour v�rifier la validit� du certificat doit �galement �tre v�rification automatique p�riodique.

De plus, j'ai aussi trouv� que lorsque Heimdal Thor t�l�charger une mise � jour est pas un fichier ex�cutable r�gulier, mais le fichier .enc. Apr�s analyse, nous avons constat� que le fichier est crypt�. Mais ils sont comment chiffrer?

L'application utilise un d�veloppeur .NET, ce processus de d�compilation serait plus de mal apr�s avoir essay�, nous avons enfin trouv� le code d�chiffr�:

Le code est bas� sur l'algorithme de chiffrement AES Rijndael, en analysant la r�f�rence de fonction, nous avons constat� que le r�le principal de cette fonction est de d�crypter le fichier, la cl� et IV sont r�gl�es sur � CryptingConstants.Key � et � CryptingConstants.IV �.

Comme pr�vu, la cl� et IV sont statiques, mais dans tous les produits Heimdal Thor sont les m�mes:

RijndaelManaged il a h�rit� SymmetricAlgorithm, et cet algorithme est utilis� par d�faut en mode CBC. Ce mode ne fournit pas le m�canisme d'authentification, de sorte que nous changeons le texte de mot de passe ne doit pas �tre trouv�.

Nous avons �galement constat� que, les donn�es JSON renvoy�es par le serveur, il y a un param�tre � contr�le �, qui est une somme de contr�le MD5, il peut nous aider � v�rifier la validit� du fichier de mise � jour, mais l'attaquant peut facilement contourner cette m�canisme de v�rification, car ils ne doivent g�n�rer une nouvelle MD5 et avant de le remplacer.

r�sum�

Bref, ce produit de s�curit� des terminaux qui est incapable d'assurer la protection de la confidentialit�, ne peut pas fournir une v�rification efficace de l'authenticit� des donn�es.

� notre avis, le m�canisme de cryptage utilis� par ce produit de la conception et de la phase de sp�cification ont �t� condamn�s sa d�faite. Produit semble apparemment pour assurer la s�curit�, mais en fait pas le cas. Pour concevoir le syst�me de s�curit�, il est n�cessaire de commencer par un bon ensemble des objectifs de s�curit� clairs, nous vous recommandons ce produit peut tout recommencer � z�ro vers le bas.

* R�f�rence Source: tuisec, FB Xiao Bian Alpha_h4ck compil�, reproduit � partir FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

Un risque pour la s�curit� des terminaux d'injection de commande � distance, je regarde comment tester (r�impression)