A je již ukradený účet dejme tomu třeba zelinář na t-online.de […] Na webu A je nahrán skript připravený pro ten konkrétní email, protože zelináři mají super top zabezpečené weby že ano...
Takže osoba A má u jednoho poskytovatele e-mailový účet, někde jinde hostuje webové stránky, které si spravuje nejspíš sama, takže zabezpečení nic moc. Dejme tomu, že ten e-mailový účet je
zelinář@gmail.com, web provozuje na zelinář.webnode.cz. Útočník nějak (neřešme jak) zjistí heslo k e-mailu
zelinář@gmail.com, a dotyčný uživatel A má v tom e-mailu uložené aktuální heslo do administrace webu, takže se útočník dostane i tam. GMail je velký poskytovatel a podepisuje e-mail DKIM, takže jsou tak podepsané i e-maily A. OK, tohle zatím dává smysl.
B v jejichž struktuře je neinfikovaný uživatel používající konkrétní verzi outlooku na konkrétních widlích se kterým A komunikuje a je u jiného providera.
B je tedy asi nějaká firma, která má nějaké zaměstnance, používají Windows a Outlook. S některým zaměstnancem firmy B běžně komunikuje osoba A.
A pošle email B, který obsahuje ten link, no a věřte nebo ne, nemusí nikdo nic otvírat a zjistíte hash toho hesla...
„Hash toho hesla“? Jakého hesla? „Toho“ je zájmeno, zájmena se používají místo (podstatných) jmen („za jméno“), tedy odkazují na něco, co bylo již dříve zmíněno. O žádném hashi hesla nebyla řeč. Jediné heslo, o kterém byla řeč, bylo heslo uživatele A. A to už útočník zná – pokud mermomocí chce znát jeho hash, může si ho spočítat.
Pokud útočník poslal jenom odkaz v e-mailu, na ten odkaz (webovou stránku) nikdo nepřistoupí do té doby, než na ten odkaz někdo neklikne a odkaz neotevře ve webovém prohlížeči. Takže žádné „nikdo nemusí nic otvírat“. Jediné, co by se mohlo v poštovním klientovi otevřít z webu „samo“, by byl například obrázek vložený do e-mailu (což pořád vyžaduje alespoň otevření toho e-mailu, ale to není pro útočníka překážka). To pak ale ten e-mail neobsahuje link, ale obrázek vložený odkazem, což je něco jiného. A hlavně je v takovém případě zbytečné, aby se útočník crcal s napadáním webového serveru, když může ten obrázek normálně vložit přímo do e-mailu.
Ano, je možné, že například knihovna pro zobrazení obrázků měla chybu, která umožňovala spuštění kódu (v tomto případě v kontextu poštovního klienta) a firma B měla neaktualizované verze Outlooku.
Rozšifrovat konkrétní hash
Víte, co je hash? Hash je jednocestná funkce, která množinu nekonečně mnoha vstupů mapuje na konečnou množinu výstupů. Jednoduchá hashovací funkce (ne kryptografická) je například taková, která z textu vezme jen poslední písmeno. Takže mapuje „a“ → „a“, „ab“ → „b“, „aba“ → „a“ atd. Když budete mít hash „a“, jak ho chcete „rozšifrovat“? Jak zjistíte, zda na vstupu bylo „a“, „aa“, „aba“, „abrakadabra“ nebo cokoli jiného končícího na „a“? Hash nemůžete rozšifrovat. Můžete nanejvýš najít nějaký vstup, který vede na konkrétní hash.
Hash samozdřejmě není nerálné rozlousknout, zvláště konkrétní typy že ano...
I jen hloupé osolené SHA-1 nerozlousknete, pokud nejste NSA nebo pokud uživatel neměl slabé heslo.
Podmínkou je to aby ten připravený skript ležel na doméně odesílatele.
Doména odesílatele je v tomto případě gmail.com, a o tom, že by na webu (pokud jste tím „skript ležel na doméně“ myslel web) gmail.com měl útočník nějaký svůj skript nebyla řeč. Navíc jste nenapsal, proč by to mělo být podmínkou. Jestli to měla být podmínka toho, aby se obrázek v e-mailu zobrazil, pak je to dost nepravděpodobné – zobrazení obrázků v poštovním klientovi se buď kompletně vypíná nebo zapíná, zobrazení obrázků pouze z webu se shodnou doménou, jako je doména adresy odesílatele, se nepoužívá. Protože to vypínání obrázků neslouží jako obrana přes exploity v obrázcích, ale jako obrana před sledováním přečtení e-mailu. A jak už jsem napsal, pokud potřebujete do poštovního klienta dostat ten správný obrázek, je nejjednodušší vložit ho přímo do e-mailu, a nemusíte řešit žádné web servery ani domény.
Kompromitací MUA B získáte hlavně heslo
Tím, že jste spustil kód v Outlooku, jste ani zdaleka nezískal heslo uživatele. Zase tak hloupé ty programy nejsou, že by si jen tak pro nic za nic držely heslo uživatele v paměti.
Čili úspěšný útok na sledování druhé schránky
K úspěšnému útoku na sledování e-mailové schránky ve firmě B máte ještě daleko, zatím jste jenom spustil svůj kód v kontextu Outlooku. Ale dobře, dejme tomu že ten kód nastavil pravidla pro přesměrování e-mailů.
Zbytek je většinou už nudný
Hlavně jste ale popsal jiný útok, než dříve, a hlavně k tomu útoku nebyl potřeba kompromitovaný účet uživatele A a útoku by nijak nezabránilo, pokud by firma B používala na svém poštovním serveru blacklist. Potřeba k tomu bylo jediné – nezáplatovaný Outlook a poslat uživateli z firmy B e-mail se správným obrázkem. Všimněte si, že účet uživatele A k tomu vůbec nebyl potřeba – útočník mohl uživateli z firmy B poslat e-mail přímo. Šlo jen o to, aby se uživateli zobrazil alespoň náhled.
Zatím jsme se tedy dostali k tomu, že na uživatele firmy byl proveden úspěšný útok, kterému by firma B předešla, pokud by místo hloupostí typu SORBS aktualizovala Outlook.
Pak se pošle nějaká faktura nebo serie faktur
Tím se vracíte ke svému prvnímu popisu útoku, nicméně to nijak nenavazuje na tento váš popis útoku. Leda že by se útočník vykašlal na exploitování firmy B, konečně by využil to, že má přístupové údaje k poštovnímu účtu uživatele A, a pokud A pravidelně posílá firmě B faktury, poslal by útočník svou upravenou fakturu. Pokud by se ve firmě B spoléhali na to, že faktura je pravá, když přišla ze správného e-mailu, měli by problém. Ovšem SORBS by tomuhle útoku taky nijak nezabránil. A pro útočníka by bylo jednodušší najít si nějakého dodavatele, který nepoužívá DKIM ani SPF a poslat fakturu přímo. Pokud ve firmě B důvěřují e-mailu bez elektronického podpisu, nebudou rozlišovat, jestli byl server ověřen přes DKIM nebo SPF (zvlášť když Outlook tu informaci ani nezobrazuje).
když předáte všechny data a sdělíte problém s návrhem konkrétního řešení tak ani neodpoví
Jestli jste jim psal stejným stylem, jako píšete tady, tak to vyhodnotili jako nigerijský spam.
Proč tomu zamezí v počáteční fázy IP blokace sorbsu jsem již psal.
Tomu, co jste popsal, SORBS nijak nezamezí. Zamezilo by tomu, kdybyste používali aktualizovaný Outlook.
Do větších detailů se nepouštím schválně, jednak takové kvantum dat není pro forum a jednak se takovéto informace nepouštějí do veřejného internetu, aby jsme samozdřejmě někoho nenaváděli a nedávaly mu zdarma návody aby nás příště obešel...
Vy se nepouštíte ani do menších detailů. Tentokrát jste alespoň popsal osoby a obsazení, to je pokrok. Ale proveditelný útok jste zase nepopsal, protože si různě protiřečíte a píšete nesmysly jako „rozšifrovat hash“, přičemž žádný hash nemáte a hash nejde rozšifrovat.
Rozhodně se nemusíte bát, že by vás někdo obešel, protože zatím jste žádný použitelný útok nepopsal.
70 Odpovědí
38771 Zhlédnutí