Podvržení MS Exchange serveru pro iOS a Android

Podvržení  MS Exchange serveru pro iOS a Android

Za běžných okolností bych tuto zprávu nepsal, potíž je ale v tom, že chyba se týká připojení k MS Exchange serveru přes iOS a Android mobilní přístroje. Stručně řečeno jde o klasický útok Man-in-the-middle, kdy útočník předstírá, že server, ke kterému se připojujete je Exchange server a ne server útočníka, jak tomu ve skutečnosti je.

Celá finta spočívá v tom, že útočník podvrhne svůj server jako Exchange server a vytvoří spojení pomocí SSL a tzv. selfsigned certifikátu. Tento typ certifikát by se měl používat pouze pro testovací účely a nikdy by neměl být na nějakém produkčním stroji. Bohužel v menších firmách se tento typ certifikátů používá běžně (jak odhlalila studie), což pak přináší značné bezpečnostní riziko. (Zejména v tom, že komunikace mezi serverem a klientem je sice šifrovaná, ale klient nemá žádný způsob jak zjistit, že se spojil se správným serverem).

Zařízení s Androidem, které se spojí s Exchange serverem obsahujícím selfsigned certifikát se spojí s jakýmkoliv serverem na určené adrese, dokonce i když jsou SSL informace podvrženy a obsahují špatná data. Neradujte se, iOS nedopadl o mnoho lépe. Zobrazil varování, že SSL certifikát nesouhlasí, ale stejně dovolil uživateli se připojit. Telefony s Windows pak zobrazili chybu a odmítli připojit uživatele k serveru.

Evidentně se zde objevují dvě chyby: Na straně administrátorů, kteří často používají selfsigned certifikáty a také na straně implementace ActiveSync protokolu, kdy výrobci nedostatečně kontrolují kam se klient připojuje. Google ani Apple na problém nereagovali, představitelé Microsoftu tvrdí, že se Exchange team problémem zabývá.

Poslat Podvržení  MS Exchange serveru pro iOS a Android na facebook
Publikováno 27.7.2012
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License