Theo hãng bảo mật Trend Micro, cuộc tấn công được gọi là ROBOT (Return of Bleichenbacher's Oracle Threat), ảnh hưởng đến 27 trang web trong top 100 của Alexa, gồm các trang web lớn như PayPal và Facebook.
Được phát hiện bởi ba nhà nghiên cứu an ninh Hanno Böck, Juraj Somorovsky và Craig Young, ROBOT cho phép kẻ tấn công có thể nhận được khóa mã hóa cá nhân cần thiết cho việc giải mã lưu lượng truy cập HTTPS trong một số điều kiện nhất định. Cho đến thời điểm này chưa có bất kỳ báo cáo hoặc ghi nhận nào cho thấy ROBOT đã bị khai thác.
ROBOT dựa trên lỗ hổng được tìm thấy bởi Bleichenbacher vào năm 1998, cho phép sử dụng các cuộc tấn công ào ạt để đoán chính xác một khóa phiên và giải mã tin nhắn HTTPS giữa các máy chủ TLS (HTTPS) và trình duyệt của khách hàng. Điều này có thể xảy ra nếu khóa phiên được mã hóa bằng thuật toán RSA và sử dụng hệ thống đệm PKCS #1 1.5. Kẻ tấn công có thể gửi khóa phiên tới máy chủ TLS và hỏi xem nó có hợp lệ không - máy chủ sẽ trả lời “Yes” hoặc “No” cho đến khi kẻ tấn công mua khóa phiên. Mặc dù thiếu sót này đã được khắc phục gần hai thập kỷ nhưng ROBOT vẫn có thể tận dụng vì các biện pháp đối phó lỗ hổng là phức tạp và không thực hiện đúng.
Các nhà nghiên cứu cho biết: “Đối với các máy chủ dễ bị tấn công và chỉ hỗ trợ trao đổi khóa mã hóa RSA, nó có thể là nạn nhân. Điều đó có nghĩa kẻ tấn công có thể ghi lại lưu lượng thụ động và sau đó giải mã nó. Đối với các máy chủ thường sử dụng khóa chuyển tiếp nhưng vẫn hỗ trợ mã khóa RSA, các rủi ro trong chuyển tiếp phụ thuộc vào tốc độ tấn công có thể thực hiện”.
Để chứng minh tính hợp lý của cuộc tấn công ROBOT, các nhà nghiên cứu đã ghi nhận được khóa chứng nhận HTTPS của Facebook để họ có thể mạo danh thành công trang web. Facebook đã sửa lỗi này vào tháng 10 và cung cấp một khoản tiền thưởng cho nhóm nghiên cứu. Các nhà nghiên cứu cũng thông báo lỗi đến các trang web và nhà cung cấp dễ bị tổn thương khác.
Cũng theo Trend Micro, các nhà nghiên cứu cũng tung ra công cụ kiểm tra tại đây, để giúp các trang web khác kiểm tra xem mình có bị tấn công bởi ROBOT hay không.
Bình luận (0)