Clicky

Jump to content
Portal do Host
  • Sign Up

Sign in to follow this  
rubensk

Registro.br - divulgação de correção de vulnerabilidade - csrf

Recommended Posts

https://registro.br/noticias.html#20170118

Em 5/1/2017 fomos informados de uma possível vulnerabilidade no sistema de registro que permitiria ataques do tipo CSRF ("Cross-Site Request Forgery"). Investigação sobre esse relato confirmou essa vulnerabilidade, o que deu início a uma revisão completa de todo o código do sistema para identificar e corrigir outras possíveis falhas. As correções de trechos mais críticos foram colocadas em produção já no mesmo dia 5/1/2017, enquanto funções de menor risco foram sendo corrigidas até o dia 17/1/2017.

Até a correção implementada em 5/1/2017, essa vulnerabilidade permitia, caso o usuário estivesse logado no sistema e, ao mesmo tempo, estivesse visitando um sítio malicioso que visa a ataque, tivesse os parâmetros de sua conta alteráveis. As alterações mais críticas que podiam ser feitas eram as de endereço de e-mail e senha de contatos. A janela de exposição dessa vulnerabilidade era bastante curta, devido ao limite do tempo de sessão, somada a exigência do acesso simultâneo a esse sítio controlado pelo atacante.

Verificação dos logs do sistema, observou que houve "prova de conceito" por conhecedores dessa vulnerabilidade em 30/10/2015. Poucos dias depois, em 2/11/2015, ocorreu o único caso conhecido de exploração dessa vulnerabilidade: um usuário teve seus dados cadastrais alterados através de um ataque CSRF. Como, porém, o registro envia imediatamente aviso de alteração e esse usuário ainda estava logado, ele pôde facilmente restabelecer sua configuração correta da conta. Esse usuário não nos reportou este episódio e, por isso, apenas as investigações iniciadas em 5/1/2017 possibilitaram esta descoberta.

Algumas outras "provas de conceito" foram efetuadas ao longo de 2016, mas nenhum ataque bem-sucedido deste tipo foi observado. A necessidade de personalização do ataque, a conjunção de fatores de baixa probabilidade de ocorrência, o tempo curto de sessão, o baixo número de vezes em que usuários típicos mantém sessões ativas no sistema de registro, o envio de e-mails avisando de cada alteração efetuada e a necessidade de uma estrutura de ataque com plantão 24 horas para reagir imediatamente a um possível sucesso do ataque, possivelmente tenham se somado para desestimular qualquer tentativa nesse sentido.

Apenas como ilustração, e dados os episódios recentes de maior repercussão envolvendo alterações de servidores DNS, especial atenção foi dada a verificar se havia ou não alguma conexão com essa vulnerabilidade. Todas as evidências presentes provam que não: são eventos sem nenhuma relação com ataques CSRF. Os episódios citados usaram credenciais e sessões válidas e se basearam em ataques de engenharia social, seja passando-se por um cliente pedindo a um intermediário "uma alteração", através de phishing ou, ainda, pelo comprometimento de uma conta de e-mail. Esses episódios poderiam ter sido evitados com os cuidados canônicos com senhas, "phishing" e detecção de engenharia social. Melhor ainda, teriam sido totalmente evitados se autenticação em duas etapas (Token) estivesse em uso ou nessas contas ou na qualificação de requisições efetuadas por prestadores de serviço.

Notar que a vulnerabilidade descrita e consertada não teria permitido acesso a contas usando Token, pois a remoção deste mecanismo exige um tipo de transação de maior dificuldade de implementação em ataques CSRF e é tipicamente bloqueada pelos mecanismos internos de segurança dos browsers. Com o Token ativo, a mudança de apenas um dos fatores de autenticação deteria o efeito prático desse ataque.

Gostaríamos de agradecer a Bruno Deves por trazer essa vulnerabilidade ao nosso conhecimento, e pedimos a usuários que caso descubram alguma vulnerabilidade ou se deparem com um comportamento estranho do sistema, entrem em contato conosco, para que a questão possa ser investigada.

 

Share this post


Link to post
Share on other sites

Os intervalos de propagação de DNS continuam o mesmo? tenho um domínio que sempre esta em vermelho na propagação la como se tivesse recusado o dns mas continua entrando para todos, o erro é mais visual apenas no whois, ou existe um cache disso?


Ferenz Networks - Data Center no Brasil, VPS, Dedicados e Colocation, estrutura própria em Santa Catarina.

Share this post


Link to post
Share on other sites
1 hour ago, Fernando Ferenz said:

Os intervalos de propagação de DNS continuam o mesmo? tenho um domínio que sempre esta em vermelho na propagação la como se tivesse recusado o dns mas continua entrando para todos, o erro é mais visual apenas no whois, ou existe um cache disso?

A propagação DNS é alterada no minuto :00 e no minuto :30 de cada hora. 

Esse tipo de erro de verificação aparece apenas no WHOIS, mas se mantido por muito tempo pode gerar mensagem de alerta. Uma causa comum de "vermelho" é um warning de diferença de número de série, mas que não é nem impeditiva de registro nem geradora de alerta. O que o domínio em questão mostra especificamente ? 

Share this post


Link to post
Share on other sites
5 minutos atrás, rubensk disse:

A propagação DNS é alterada no minuto :00 e no minuto :30 de cada hora. 

Esse tipo de erro de verificação aparece apenas no WHOIS, mas se mantido por muito tempo pode gerar mensagem de alerta. Uma causa comum de "vermelho" é um warning de diferença de número de série, mas que não é nem impeditiva de registro nem geradora de alerta. O que o domínio em questão mostra especificamente ? 

Confere ali pra min nrseg.com.br e veja no whois, ambos ns1 e ns2 pingam ao ip do servidor o site abre normal mas o vermelho ta la no whois.


Ferenz Networks - Data Center no Brasil, VPS, Dedicados e Colocation, estrutura própria em Santa Catarina.

Share this post


Link to post
Share on other sites
2 minutes ago, Fernando Ferenz said:

Confere ali pra min nrseg.com.br e veja no whois, ambos ns1 e ns2 pingam ao ip do servidor o site abre normal mas o vermelho ta la no whois.

 Servidor DNS:
 
 Status:
17/01/2017 CREFUSED
28/11/2016
 
 Servidor DNS:
 
 Status:
17/01/2017 CREFUSED
28/11/2016

CREFUSED é "Connection Refused", é bem grave isso... e não é só a partir do Registro.br, o Zonemaster (https://www.zonemaster.net/) do pessoal da França e Suécia também não consegue conectar. De fato resolução DNS funciona, como mostra o ISP Tools (http://www.isptools.com.br/dns#1!131!A!nrseg.com.br), mas parece que seu servidor ou seu datacenter tem implicância com testes de DNS.

O relatório deste teste do DNSViz sugere que seu servidor DNS não esteja aceitando conexão UDP 53: http://dnsviz.net/d/nrseg.com.br/WIAA5Q/dnssec/
Como em DNS há possibilidade de fall-back para TCP 53, pelo visto é o que está segurando ele no ar. 

Share this post


Link to post
Share on other sites
10 horas atrás, rubensk disse:
 Servidor DNS:
 
 Status:
17/01/2017 CREFUSED
28/11/2016
 
 Servidor DNS:
 
 Status:
17/01/2017 CREFUSED
28/11/2016

CREFUSED é "Connection Refused", é bem grave isso... e não é só a partir do Registro.br, o Zonemaster (https://www.zonemaster.net/) do pessoal da França e Suécia também não consegue conectar. De fato resolução DNS funciona, como mostra o ISP Tools (http://www.isptools.com.br/dns#1!131!A!nrseg.com.br), mas parece que seu servidor ou seu datacenter tem implicância com testes de DNS.

O relatório deste teste do DNSViz sugere que seu servidor DNS não esteja aceitando conexão UDP 53: http://dnsviz.net/d/nrseg.com.br/WIAA5Q/dnssec/
Como em DNS há possibilidade de fall-back para TCP 53, pelo visto é o que está segurando ele no ar. 

O mesmo name server é usado em outros domínios e esta normal, é apenas neste domínio que aconteceu isso.


Ferenz Networks - Data Center no Brasil, VPS, Dedicados e Colocation, estrutura própria em Santa Catarina.

Share this post


Link to post
Share on other sites

@rubensk O teste foi feito em laboratório ou alguém fez isso propositalmente, acessou o registro.br e o site malicioso simultaneamente...


oGigante.com • Revenda de Hospedagem + Construtor de Site
█ CloudLinux • DNS Próprio • Softaculous PREMIUM • PHP 5.2 ao 5.7 • Proteção Adicional e +

Share this post


Link to post
Share on other sites
2 minutes ago, chuvadenovembro said:

@rubensk O teste foi feito em laboratório ou alguém fez isso propositalmente, acessou o registro.br e o site malicioso simultaneamente...

As provas de conceito que foram mencionadas foram propositais, mas o episódio que foi citado de 2015 foi sim de acesso simultâneo ao registro.br e ao site malicioso. Sorte que o cara estava alerta e ainda logado viu o e-mail de mudança, e desfez a mudança. 

 

Share this post


Link to post
Share on other sites

Pessoal, recentemente o Google WebMaster vinha me mandando notificação que havia sido detectado em alguns sites que estavam em minha VPS que tinha sido encontrado conteúdo de Engenharia Social.

E hoje, minha VPS simplesmente foi SUSPENSA porque segundo a Host1Plus estava sendo utilizada para  phishing.

Oque devo fazer?

Estou pensando em subir uma VPS em paralelo e restaurar o bkp que tinha sido feito de madrugada. 

Mas não sei onde estava o problema....

Share this post


Link to post
Share on other sites
23 minutos atrás, ElderVinicius disse:

Pessoal, recentemente o Google WebMaster vinha me mandando notificação que havia sido detectado em alguns sites que estavam em minha vps que tinha sido encontrado conteúdo de Engenharia Social.

E hoje, minha vps simplesmente foi SUSPENSA porque segundo a Host1Plus estava sendo utilizada para  phishing.

Oque devo fazer?

Estou pensando em subir uma vps em paralelo e restaurar o bkp que tinha sido feito de madrugada. 

Mas não sei onde estava o problema....

Geralmente a empresa que suspende tem que mandar os motivos e quem estava fazendo a infração.


Ferenz Networks - Data Center no Brasil, VPS, Dedicados e Colocation, estrutura própria em Santa Catarina.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.



×
×
  • Create New...