Factible ataques de fuerza bruta a contraseñas de Oracle

(Tomado de seguridad.unam.mx)

Un investigador de seguridad ha dado detalles sobre las vulnerabilidades en el protocolo de autenticación de la base de datos de Oracle que originalmente fue descubierto en 2010. El investigador, Esteban Martinez Fayó, especialista en seguridad de AppSec, presentó sus hallazgos y los métodos por los cuales pueden ser aprovechados en la Conferencia de Seguridad ekoparty, la cual que se llevó a cabo en Buenos Aires.

Aunque Oracle cerró el hueco con el conjunto de modificaciones 11.2.0.3, que introdujo la nueva versión 12 del protocolo a mediados de 2011, Fayó dijo que no ha habido ninguna solución para las versiones 11.1 y 11.2 de la base de datos porque la actualización no se incluyó en ninguna de las “actualizaciones críticas” regulares de Oracle. El investigador explicó que a menos que los administradores activen el nuevo protocolo de forma manual, la base de datos seguirá utilizando la versión vulnerable 11.2 del protocolo.

Fayó dice que cuando un inicio de sesión se intenta, el servidor de base de datos inicialmente envía una clave de sesión y el valor de la salt  del hash de la contraseña. Aparentemente, los atacantes potenciales sólo requieren el nombre de un usuario y un archivo de base de datos, que puede entonces abortar la comunicación con el servidor y lanzar un ataque de fuerza bruta sobre la contraseña fuera de línea. Este método no causa que ningún fallo en los intentos de inicio de sesión sea registrado en los archivos de logs.

De acuerdo con el investigador, el hueco de seguridad revelado permite a los atacantes hacer una conexión entre la clave de sesión del usuario y el hash de la contraseña. Fayó comentó que el valor salt aleatorio está diseñado para hacer los ataques de fuerza bruta sobre este hash muy complicados, ya que no permite a los atacantes utilizar, por ejemplo, rainbow tables.

Continuó explicando que, a pesar de que estas tablas no se pueden utilizar en este ataque, las contraseñas pueden ser descifradas eficientemente mediante el uso de hardware especial, como GPUs, y diccionarios híbridos. El investigador señaló que también es posible utilizar los servicios de la nube. Para descifrar una contraseña, los atacantes probaran combinaciones aleatorias de caracteres hasta encontrar uno que coincida con el hash de un valor dado. Una vez que tienen una coincidencia, es muy probable que haya encontrado la contraseña correcta.

Fuente: H Security FM

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s