Lỗ hổng mật mã cho phép kẻ tấn công giải mã dữ liệu Facebook, Paypal và rất nhiều các trang web lớn khác

(14/12/2017)
Lỗ hổng có tuổi đời gần hai thập kỷ cho phép tin tặc giải mã dữ liệu được mã hóa gửi trên đường truyền khi bạn sử dụng HTTPS.

Mới đây, một lỗ hổng trong giao thức bảo mật TLS có tuổi đời 19 năm đã được tìm thấy bởi ít nhất 8 nhà phát triển công nghệ và dự án mã nguồn mở - lỗ hổng cho phép tin tặc giải mã dữ liệu được mã hóa trong đường truyền.

Lỗ hổng được xác định bởi các chuyên gia bảo mật Hanno Böck, Juraj Somorovsky , Craig Young nằm trong mã hóa RSA PKCS #1 v1.5 ảnh hưởng đến các máy chủ của 27 trong số 100 trang web hàng đầu bao gồm Facebook, Paypal.

Lỗ hổng này bắt đầu từ năm 1988, khi Daniel Bleichenbacher – một nhà mật mã Thụy Sĩ hiện đang làm việc cho Google đã xác định được một vấn đề trong việc triển khai RSA PKCS # 1 v1.5. Sự thiếu sót này có thể bị khai thác bởi những kẻ tấn công để đưa ra những câu hỏi lặp đi lặp lại tới máy chủ có lỗ hổng nhằm giải mã thông tin liên lạc được mã hóa. Vấn đề này không chỉ giới hạn trong TLS. Các nhà nghiên cứu cho biết các vấn đề tương tự tồn tại trong mã hóa XML, giao diện PKCS # 11, mã hóa và ký Javascript object, Cryptographic Message Syntax.

Để phù hợp với xu hướng hiện nay của việc đặt tên các lỗ hổng đáng chú ý nên các chuyên gia đã đặt tên cho lỗ hổng này là ROBOT, viết tắt của Return Of Bleichenbacher’s Oracle Threat. Ở đây, “Oracle” không phải miêu tả cơ sở dữ liệu mà là thuật ngữ được sử dụng để mô tả các máy chủ dễ bị tổn thương hoạt động như “nhà tiên tri” cung cấp câu trả lời cho các truy vấn.

Theo bằng chứng công bố,các chuyên gia bảo mật đã thực hiện ký một thông điệp với khóa bí mật chứng chỉ HTTPS của facebook.com. Facebook cho biết đã vá các máy chủ chứa lỗ hổng này cùng với những bản vá lỗi tùy chỉnh của công ty. Ngoài Facebook cũng có nhiều công ty khác có chứa lỗ hổng này và trong số đó đã có một số cung cấp bản vá, thông tin chi tiết về những website chứa lỗ hổng tại địa chỉ: https://robotattack.org/

Ngoài ra, các chuyên gia bảo mật cũng cung cấp công cụ giúp người dùng kiểm tra xem máy chủ của hệ thống có chứa lỗ hổng hay không tại địa chỉ: https://github.com/robotattackorg/robot-detect

Theo genk


Tin khác