Lỗ hổng GnuPG cho phép kẻ tấn công giả mạo chữ ký

Lỗ hổng được tiết lộ sau gần 1 tháng sau khi các nhà nghiên cứu tiết lộ một loạt các lỗ hổng được gọi là eFail trong các công cụ mã hóa PGP và S/Mime có thể cho phép kẻ tấn công phơi nhiễm email được mã hóa dưới dạng plaintext, ảnh hưởng đến các chương trình email bao gồm Thunderbird, Apple Mail và Outlook.

Nhà phát triển phần mềm Marcus Brinkmann là người phát hiện lỗ hổng kiểm soát đầu vào được gọi là SigSpoof, cho phép kẻ tấn công giả mạo chữ ký số với khó công khai hoặc ID của người dùng mà không yêu cầu bất kỳ khóa cá nhân hay khóa công khai nào liên quan.

Lỗ hổng bảo mật CVE-2018-12020 ảnh hưởng đến các ứng dụng email phổ biến như GnuPG, Enigmail, GPGTools và python-gnupg hiện đã được vá trong bản cập nhật phần mềm mới nhất.

Lỗ hổng GnuPG trong công cụ mã hóa cho phép kẻ tấn công giả mạo chữ ký

Theo các nhà nghiên cứu, giao thức OpenPGP cho phép thêm tham số filename của file đầu vào ban đầu vào thư đã được ký hoặc mã hóa, kết hợp với thông báo trạng thái GnuPG (bao gồm thông tin chữ ký) trong một đường dữ liệu đơn bằng cách thêm từ khóa được xác định trước để tách chúng.

Theo nhà bảo trì GnuPG Werner Koch, các thông báo trạng thái được phân tích bởi các chương trình để lấy thông tin tính hợp lệ của chữ ký và các thông số khác từ gpg".

Trong quá trình giải mã thư ở phía đầu người nhận, ứng dụng client chia tách thông tin bằng từ khóa đó và hiển thị thư có chữ ký hợp leek, nếu người dùng có tùy chọn kích hoạt file gpg.conf.

Các nhà nghiên cứu cũng phát hiện ra filename được bao gồm có thể lên tới 255 ký tự không được kiểm soát đúng cách có thể cho phép kẻ tấn công thêm nguồn cấp dữ liệu dòng hoặc các ký tự điều khiển khác.

Nhà nghiên cứu bảo mật Brinkmann minh họa cách thức các lỗ hổng được sử dụng để tiêm nhiễm các thông báo trạng thái GnuPG giả vào trình phân tích cú pháp ứng dụng để giả mạo kết quản xác minh chữ ký và giải mã thông báo.

Nhà nghiên cứu cũng cho rằng lỗ hổng này có khả năng ảnh hưởng đến phần lớn cơ sở hạ tầng cốt lõi, vượt xa các email được mã hóa vì GnuPG không chỉ được sử dụng để bảo mật email mà còn được sử dụng để bảo mật các bản sao lưu, cập nhật phần mềm trong các bản phân phối và mã nguồn trong hệ thống kiểm soát phiên bản như Git.

Brinkmann cũng đưa ra 3 proofs-of-concept minh họa cách thức giả mạo chữ ký trong Enigmail và GPGTools, cách thức giả mạo chữ ký và mã hóa trong Enigmail, cũng như cách thức giả mạo chữ ký trong dòng lệnh.

Người dùng được khuyến cáo nâng cấp lên các phiên bản mới nhất để tránh bị trở thành nạn nhân của lỗ hổng:

- Nâng cấp lên GnuPG 2.2.8 hoặc GnuPG 1.4.23: DownloadGnuPG
- Nâng cấp lên Enigmail 2.0.7:
Download Enigmail
- Nâng cấp lên GPGTools 2018.3:
Download GPG Tools

Các nhà phát triển được khuyến cáo thêm --no-verbose" vào tất cả các yêu cầu của GPG và nâng cấp lên python-gnupg 0.4.3.

Các ứng dụng sử dụng công cụ mã hóa GPGME sẽ an toàn hơn. Ngoài ra không nên kích hoạt flag --status-fd-verbose để đảm bảo an toàn.

AMD đang trở lại một cách đầy mạnh mẽ với bộ vi xử lý Ryzen của mình. Sau thành công của Ryzen thế hệ thứ nhất, AMD đang dần tung ra bộ vi xử lý Ryzen thế hệ thứ hai của mình. Mới đây, trên các trang mạng đã rò rỉ benchmark vi xử lý AMD Ryzen 5 2500X và Ryzen 3 2300X với thông số ấn tượng có thể cung cấp hiệu năng ngang bằng với vi xử lý Intel thế hệ thứ 8.

Một nhà nghiên cứu bảo mật vừa phát hiện ra lỗ hổng bảo mật nghiêm trọng trong client mã hóa email phổ biến sử dụng chuẩn OpenPGP, dựa trên GnuPG để mã hóa và ký thư điện tử, theo đó lỗ hổng GnuPG trong công cụ mã hóa cho phép kẻ tấn công giả mạo chữ ký.
Hướng dẫn cách mã hóa Files và thư mục trên Ubuntu
Phát hiện lỗ hổng trong CyberArk Enterprise Password Vault
Cảnh báo lỗ hổng trong Windows JScript cho phép kẻ tấn công thực thi mã từ xa
Lỗ hổng trên Chrome cho phép hacker tìm ra mọi thông tin người dùng
Bản cập nhật cho Flash Player vá lỗ hổng thực thi mã
Lỗ hổng bảo mật trên PowerPoint phát tán phần mềm độc hại

ĐỌC NHIỀU