Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

SigSpoof - zraniteľnosť v elektronickom podpisovaní e-mailov

15.06.2018
Zraniteľnosť dovoľuje útočníkovi podvrhnúť e-mail, ktorý klient vyhodnotí ako podpísaný, pričom nemusí byť.

 

Dôsledky
Nesprávna informácia o podpisujúcom môže viesť k dezinformácii užívateľa a zvýšenej účinnosti phishingu.

Opis činnosti
CVE-2012-12019, CVE-2018-12020, CVE-2018-12356
Útok na zraniteľnosť CVE-2018-12020 využíva to, že GPGTools 2018.2 a python-gnupg 0.4.2 spracovávajú výstup GnuPG 2.2.6 s možnosťou “--status-fd 2” a zároveň GnuPG môže byť nakonfigurované s možnosťou “verbose”. Toto spôsobuje zahrnutie odosielateľom vybraného parametru "filename" v štandardnom chybovom výstupe, spolu so správami o vykonávaní. Takto je možné podsunúť škodlivý parameter "filename", ktorý vyzerá ako legitímny výstup GnuPG.
Podobne, zraniteľnosť CVE-2018-12019 umožňuje pre Enigmail zneužitie podobnej zraniteľnosti aj keď možnosť "verbose" nie je nastavená.
CVE-2018-12356 vie falzifikovať podpis na konfiguračných súboroch a rozširovacích skriptoch pre Simple Password Store alebo pass, čo môže viesť k vzdialenému vykonávaniu kódu.

Zraniteľné systémy
GnuPG s verziou nižšou ako 2.2.8
GnuPG s verziou nižšou ako 1.4.23
Enigmail s verziou nižšou ako 2.0.7
GPGTools s verziou nižšou ako 2018.3
python-gnupg s verziou nižšou ako 0.4.3
pass s verziou nižšou ako 1.7.2

Závažnosť zraniteľnosti
Stredná

Možné škody
Phishing

Odporúčania
Aktualizovať softvér:

  • GnuPG aspoň na verziu 2.2.8 alebo 1.4.23
  • Enigmail aspoň na verziu 2.0.7
  • GPGTools aspoň na verziu 2018.3
  • python-gnupg aspoň na verziu 0.4.3
  • pass aspoň na verziu 1.7.2

     

Odkazy
https://arstechnica.com/information-technology/2018/06/decades-old-pgp-bug-allowed-hackers-to-spoof-just-about-anyones-signature/
https://www.helpnetsecurity.com/2018/06/15/cve-2018-12020-digital-signature-spoofing/
https://neopg.io/blog/gpg-signature-spoof/
https://neopg.io/blog/enigmail-signature-spoof/
https://neopg.io/blog/pass-signature-spoof/



<< zoznam oznámení