Kerberos e il bug invecchiato 21 anni

La vulnerabilità scoperta da un gruppo di ricercatori affligge Windows, quasi tutte le distribuzioni Linux, MacOS, FreeBSD e Samba. Le patch sono state rilasciate in questi giorni, ma le due righe di codice che causavano il bug erano in "cantina" dal lontano 1996

Roma – I ricercatori Jeffrey Altman (fondatore di Auristor ), Viktor Dukhovni e Nicolas Williams hanno recentemente scoperto un bug presente in due implementazioni del protocollo di autenticazione Kerberos: quella di Microsoft , contenuta in tutti i sistemi operativi Windows, e l’open source Heimdal , utilizzata dalla maggior parte delle distribuzioni Linux e Unix.

La falla di sicurezza, chiamata dai ricercatori “Orpheus’ Lyre”, con un’evidente analogia mitologica legata alla figura di Cerbero, risale al 2000 per quanto riguarda Windows e addirittura al 1996 per quanto riguarda Heimdal: non è stata scoperta in tutto questo tempo poiché non compromette il corretto funzionamento del sistema ed è estremamente localizzata. L’implementazione del protocollo realizzata dal MIT , adottata da alcune distribuzioni, tra cui Red Hat, non è affetta dal bug .

orpheus lyre

La vulnerabilità consente ad un eventuale attaccante – il quale deve avere già penetrato la rete target – di effettuare una privilege escalation attraverso un attacco di tipo Man In The Middle : l’attaccante si spaccia per un provider di autenticazione, riuscendo così ad accedere alle credenziali fornite dai vari utenti .

In Kerberos, la mutua autenticazione tra utenti e servizi avviene attraverso una terza entità chiamata Key Distribution Center (KDC) , il quale produce oggetti chiamati ticket , che hanno lo scopo di autenticare un utente ad un determinato servizio. I ticket, a causa della notevole longevità del codice e di necessità di backward compatibility , possiedono al loro interno sia strutture di dati cifrate che altre non cifrate: i ricercatori hanno scoperto un metodo in grado di estrarre da un ticket dati sensibili non protetti da cifratura : il nome dell’utente, una serie di metadati, e la session key utilizzabile per autenticarsi ad un determinato servizio. Attraverso il possesso di questi dati, risulta possibile ingannare l’Authentication Server del KDC , impersonando un determinato utente.

funzionamento kerberos

Il bug consiste in due righe di codice , relative alla funzione _krb5_extract_ticket() , utilizzata dai client Kerberos per estrarre informazioni da un certo ticket: la vulnerabilità è quindi presente soltanto lato client .

I ricercatori hanno deciso, per il momento, di non pubblicare il codice del loro exploit , in modo da dare tempo ai provider di rilasciare le patch di sicurezza necessarie: Microsoft ha rilasciato la propria con il Patch-Tuesday di questo mese , bollettini di sicurezza e relative patch sono state pubblicate anche da Samba , Debian , Fedora , Heimdal e FreeBSD .

Elia Tufarolo

Fonte immagini: 1 , 2

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • xte scrive:
    C'è un perché positivo
    Per taluni lavori spesso c'è gente in loco poco qualificata e qualcuno distante esperto, per questi alle volta avere una telecamera su casco/occhiali in streaming verso un centro remoto può esser d'aiuto a molte attività.Il solo punto è: streaming p2p/sui server dell'azienda, cifrato, solo con sw FOSS, non streaming che passa "dal cloud" (ovvero dai computers) di qualcun'altro usando sw proprietario che non sai cosa fa poi sui loro server.
  • ed223f0d35a scrive:
    Ma sono tutti fuori di testa?
    Il clima di rinXXXXXXXXmento generale è allucinante. Qui si parla come niente fosse di piazzare telecamere in ospedali e studi medici. Che vogliamo fare riprendere in XXXX dei malati durante le visite mediche e salvare tutti i filmati sul cloud?
    • ... scrive:
      Re: Ma sono tutti fuori di testa?
      - Scritto da: ed223f0d35a
      Qui si parla come niente fosse di
      piazzare telecamere in ospedali e studi medici.Studi medici a parte, negli ospedali le telecamere ci sono sin da quando sono state inventate, dato che devono poter documentare tutto il documentabile in caso di problemi.Se qualcosa dovesse andare storto durante la tua operazione causa malasanità, sarà infatti proprio grazie alle registrazioni che avrai la possibilità di rivalerti.
      • xte scrive:
        Re: Ma sono tutti fuori di testa?
        Il problema è chi disegna il "come documentare", quello attuale delle sale operatorie, per dire, impedisce agli anestesisti di lavorare perché anziché documentare "in automatico", o per lo meno a voce, richiede di *scrivere* ogni cosa che si fa prima di farla e talvolta non si può procedere, o per lo meno è inopportuno, con così tanta calma per far felice il manager di turno.Poi c'è la documentazione finta: per esempio perché quando vai all'agenzia delle entrate, facendo la coda per prendere il biglietto che data la così contorta descrizione viene fornito da un impiegato locale dopo che ha ascoltato cosa vuoi, ti viene chiesto insieme il codice fiscale? Se ti dovrei identificare lo farai allo sportello no? Mi è capitato giusto oggi (rientro necessario in Italia, ~400Km di macchina, a mie spese perché ovviamente siamo nell'era telematica). Dopo un 45' di coda per avere il biglietto col quale mettermi in coda m'han chiesto il c.f.: "sono residente all'estero", "ah, ok, non è che lo ricorda a memoria?", "NO!!!", "ah, ok, non importa tanto non serve ecco il biglietto" (e quelli prima e dopo avevan perso tempo a far leggere il barcode del c.f./t.s.Del resto se la burocrazia è disegnata dai burocrati come si può pretendere che al posto dei loro porci comodi cervellotici facciano l'interesse dei cittadini?
      • panda rossa scrive:
        Re: Ma sono tutti fuori di testa?
        - Scritto da: ...
        - Scritto da: ed223f0d35a

        Qui si parla come niente fosse di

        piazzare telecamere in ospedali e studi medici.

        Studi medici a parte, negli ospedali le
        telecamere ci sono sin da quando sono state
        inventate, dato che devono poter documentare
        tutto il documentabile in caso di
        problemi.Si, ma un conto e' una tv a circuito chiuso con le immagini che vengono salvate localmente e a cui solo il tecnico dell'azienda puo' accedere per consegnarle al magistrato quando questo le richiede con specifico mandato.Un altro conto e' salvarle su un server straniero (il cloud), dove cani&porci possono visionare liberamente, prelevare, copiare, manomettere, riutilizzare per finalita' commerciali, assicurative, o qualunque altra motivazione che sia contraria all'interesse del soggetto filmato.
    • Jacula scrive:
      Re: Ma sono tutti fuori di testa?
      - Scritto da: ed223f0d35a
      Il clima di rinXXXXXXXXmento generale è
      allucinante. Qui si parla come niente fosse di
      piazzare telecamere in ospedali e studi medici.
      Che vogliamo fare riprendere in XXXX dei malati
      durante le visite mediche e salvare tutti i
      filmati sul
      cloud?Duole ma e così, e pensa te che in tanti gioiranno pure.
  • Mago scrive:
    Acqua calda
    Tutta roba che IBM ha invetato e sperimentato nei decenni scorsi
Chiudi i commenti