Taggat med: mitm

Evilginx version 3.2 ute nu

Evilginx version 3.2

Nu finns det en ny version av phishing-ramverket Evilginx. Evilginx är utvecklat av Kuba Gretzky och var det första ramverket som var öppet och hade möjlighet att kringgå multifaktorsautentisering genom att utföra man-i-mitten-attacker (MITM). Jag kan även rekommendera denna artikel då jag testar ett annat liknande verktyg.

Nyheter i version 3.2

Den första och största nyheten har och göra med hur redirect_url fungerar. När väl en sessionstoken har spelats in vid en phishing-sida så har det tidigare varit svårt att göra ompekningar när sidorna har varit SPA:er (Single Page Applications). Men genom att injicera ett javascript i webbsidan som MITM:as så går det nu att göra en redirect enklare.

När en ny phishing-kampanj skickas ut via E-post så brukar de första som besöker phishing-sidorna vara automatiserade scanners som automatiskt försöker lista ut om länken i ett E-post är en phishing-sida. Genom att nu använda följande konfigurations-direktiv så är det möjligt att pausa phishing-sidan temporärt och således försvåra för dessas automatiserade scanningar och säkerhetsprodukter:

lures pause <id> <time_duration>

Det går nu att finjustera proxy-anropen som går via Evilginx och returnera egna fel-koder eller svar på HTTP-förfrågningar. Exempelvis:

intercept:
  - {domain: 'www.linkedin.com', path: '^\/report_error$', http_status: 200, body: '{"error":0}'', mime: "application/json"}
  - {domain: 'app.linkedin.com', path: '^\/api\/v1\/log\/.*', http_status: 404}

Det finns många andra nyheter och buggfixar i Evilginx, se följande inlägg för alla nyheter.

Skydd mot MITM/proxy phishing-attacker

Kuba som utvecklar Evilginx höll ett föredrag på konferensen x33fcon om hur man kan skydda sig mot denna typ av phishing-attacker där angriparen gör MITM/proxy-attacker för att stjäla sessions-cookies.

Föreläsningen hittar du inbäddad här:

Telia injicerar inte kod i webbsidor

Uppdatering: Telia har nu dementerat detta via Twitter och skriver att det är Twitter själva som visar detta meddelande.

Frågor som kvarstår är dock hur Telia meddelar Twitter att just detta är en kund med abonnemang X. Läcker denna meta-data?

Via @mockzallad på Twitter så uppdagades det att Telia möjligen injicerar HTML-kod i webbsidor. Detta inträffar när en Telia-kund lämnar en webbsida som omfattas av Telia när det gäller sociala medier, se följande skärmdump:

Telia gratis sociala medier

Det som nu inträffar är att när användaren lämnar någon av ovan sociala medier så visar Telia (eller Twitter) följande meddelande:

mockzallad

Och när det gäller nätneutralitet så skriver Telia följande på sin hemsida:

Nätneutralitet är en mycket viktig fråga som vi följer noga, det tror jag gäller för samtliga operatörer. Vårt nya erbjudande om fri surf i sociala medier ger kunderna ännu mer surffrihet, vi gör ingen prioritering av trafik eller någon typ av blockering, därför menar vi att det inte står i konflikt med nätneutraliteten.

Vilket jag tycker är helt felaktigt. Speciellt när man som ovan påverkar innehållet i datatrafiken med en teknisk metod som just nu är okänd.

Vet du hur Telia gör rent tekniskt, MITM? Lämna gärna en kommentar nedan eller på Facebook.

Uppdatering: Även om Telia själva skriver att dom injicerar kod så kan det vara så att Twitter har stöd för att visa dessa meddelanden när länkar går via deras egen länkförkortare t.co.

screenshot

Uppdatering 2: För att förtydliga, innan vi har några tekniska detaljer hur detta går till så har inlägget uppdaterats.

Möjliga metoder för att visa ovan meddelande kan vara följande:

  • MITM på icke https-trafik in-transit
  • Samarbete med Twitter som ändrar utgående länkar
  • DNS-redirect
  • TeliaSonera som är en egen CA genererar certifikat. Minst troligt

Badlock var inte så farlig som många trodde

Nu har information släppts om den beryktade Badlock-buggen. Det visar sig att den inte är så farlig som många hade förväntat sig, dvs mer en uppbyggd hype eller PR-trick.

Sårbarheten är en så kallad MITM-bugg och gör att angriparen måste sätta sig mellan klienten och SMB-servern. Även så handlar Badlock om en överbelastningsattack, DoS.

Microsoft ger den nivå ”Important”, dvs näst högsta nivån och buggen får CVE-2016-0128 samt CVSS nivå 7.1.

Intressant denna tisdag är även att Microsoft släpper sitt månatliga patchpaket som innehåller critical-fixar för Edge och Internet Explorer.
hype train

Lenovo Superfish/Badfish

Det var kanske ingen direkt överraskning att Lenovos datorer kom med en mjukvara förinstallerad som genomförde man-i-mitten-attacker mot krypterad surftrafik (https). Mjukvaran utvecklades av företaget Komodia som är specialiserade på föräldrakontroll och annonshantering.

Rent tekniskt så fungerar Komodias mjukvara genom att installera ett nytt root SSL-certifikat som gör att dess mjukvara kan generera egna certifikat för godtycklig sajt för att injicera reklam samt lura webbläsaren. Även den privata nyckeln för att genomföra denna mitm installerades också på Lenovos datorer, dock krypterad med lösenordet komodia.

Men varför är detta så allvarlig kanske du undrar? Jo det finns flera aspekter, dels så har Komodia implementerat en egen felaktig SSL/TLS-stack samt så kan vem som helst använda Komodoias privata nyckel och genomföra egna mitm-attacker på exempelvis Internetcaféer. Även så innehåller deras stack andra problem som gör att det går att genomföra mitm.

Superfish

Som tur var så finns det hopp, för Lenovo har gått ut och sagt att de kommer att släppa en uppdatering som tar bort mjukvaran samt installerade certifikat. Även så hittar och klassificerar Microsoft Security Essentials Superfish som adware.

Det är även oklart hur utbrett detta problem är då Komodia Redirector SDK har sålts till 100-talet olika företag där Lenovo enbart är ett av dessa.

Anledningen till att Lenovo installerat denna typ av mjukvara är troligtvis pga minskade marginaler för försäljning av laptops. Om det finns en möjlighet att tjäna 1000kr extra per såld laptop så tar dom den.

Du kan testa om du har Superfish/badfish installerat genom att besöka följande webbsida:

Skärmdump som visar hur proxyn lyssnar på en port:

SuperFish_MITM_proxy

 

MITM Attack mot Google-användare i Iran

En användare av webbläsaren Google Chrome har i Iran upptäckt ett felaktigt certifikat för Google-tjänster. Efter ytterligare undersökningar så visade det sig att någon på vägen mellan användaren i Iran och Google genomförde en såkallad man-i-mitten attack (man-in-the-middle /MITM ) mot krypterade anslutningar (https).

Att användaren i Iran kunde upptäcka attacken berodde på att Google lagt in fingerprints för dess tjänster hårdkodat i webbläsaren Chrome. Så oavsett om certifikatet ser ut att vara korrekt utfärdat för *.google.com så visas en varning till användaren.

En av bovarna i dramat är företaget DigiNotar som utfärdat ett certifikat felaktigt. Omfattningen av denna attack är i dagsläget oklar.

Google har gått ut med följande meddelande:

Today we received reports of attempted SSL man-in-the-middle (MITM) attacks against Google users, whereby someone tried to get between them and encrypted Google services. The people affected were primarily located in Iran. The attacker used a fraudulent SSL certificate issued by DigiNotar, a root certificate authority that should not issue certificates for Google (and has since revoked it).

Google Chrome users were protected from this attack because Chrome was able to detect the fraudulent certificate.

To further protect the safety and privacy of our users, we plan to disable the DigiNotar certificate authority in Chrome while investigations continue. Mozilla also moved quickly to protect its users. This means that Chrome and Firefox users will receive alerts if they try to visit websites that use DigiNotar certificates.

To help deter unwanted surveillance, we recommend that users, especially those in Iran, keep their web browsers and operating systems up to date and pay attention to web browser security warnings.

Felaktig certifikatkontroll i iPhone iOS

En allvarlig säkerhetsbugg har upptäckts i Apples mobiltelefon iPhone som använder operativsystemet iOS. Denna typ av attack upptäcktes för nio år sedan och har drabbat exempelvis webbläsaren Internet Explorer tidigare.

Denna bugg medger att någon kan göra en aktiv, oupptäckbar MITM (man-in-the-middle) attack mot TLS/SSL-krypterade anslutningar. För detta kan verktyget sslsniff användas som även uppdaterats.

Buggen hittades av Gregor Kopf (Recurity Labs) samt Paul Kehrer ( Trustwave’s SpiderLabs). Recurity Labs har genomfört granskningar av iOS på uppdrag av tyska myndigheten Federal Office for Information Security (BSI).

Mer information finns hos Apple, Sophos eller H-Online.

Uppdatering: Buggen är så klart fixad av Apple sedan iOS version 4.3.5 som släpptes för några dagar sedan.

Surfa anonymt på Internet

Vi har många gånger tidigare skrivit hur du kan surfa anonymt på Internet men värt att poängtera är att enligt åtskilliga undersökningar så använder många dessa anonyma tjänster till att exempelvis utföra bankärenden på Internet och dylikt där den enskilde avslöjar sina uppgifter och således inte är anonym längre.

Det har även förekommit man-in-the-middle attacker på krypterad https-surf över nätverket Tor samt så har åtskilliga metoder presenterats för att avanonymisera de som surfar anonymt på Internet.

Referenser: