最后更新于2017年11月6日星期一21:18:13 GMT
10月份, Rapid7研究人员 发现了一个重大漏洞 九、移动应用 为安卓. 直截了当地说, 这个应用程序泄露了Microsoft Exchange用户凭证, 加上邮件信封和附件, 邮箱同步数据, 攻击者的日历条目和任务. 它已被识别为常见漏洞和暴露(CVE) ID -即, CVE-2016-6533 -尽管目前没有正式的对应条目 CVE数据库. 目前, Nine应用程序(也被称为NineFolders)可通过Google Play商店获得,安装次数在50万到100万之间.
危险是什么??
此漏洞的最大风险来自中间人攻击, 这可能是一个拥有与运行Nine应用程序的移动设备相同网络权限的攻击者强加的. 可能,从Android设备到Exchange服务器或outlook的流量.office365.com是为使用Outlook365企业电子邮件的组织服务的. 据研究人员称, 攻击很容易在开放的无线环境中发起, 或者通过引诱用户在他们的指导和控制下使用流氓无线接入点(WAP)访问互联网. 这可能意味着, 例如, 攻击者可以使用一个看似无害但很吸引人的SSID,比如“星巴克”或“麦当劳”,建立一个移动WAP,这个SSID被桥接到3G/4G移动数据连接上. 然后, 攻击者可以将安全的HTTP (HTTPS)流量汇集到代理,该代理提供来自任何证书颁发机构的自签名证书. 在这种情况下, 攻击者只需要等待9用户进入恶意WAP的范围. 因为Nine应用程序和远程Exchange ActiveSync服务之间的通信通常发生在受害者打开他或她的手机时, 当收到电子邮件时(并启用了推送), 或者当电话轮询远程服务时, 很有可能暴露凭证. 所有通信包都在HTTP基本身份验证头中包含这些凭据, 未执行证书验证以确保证书有效和当前(未被撤销). 同样,针对Exchange服务器的DNS查询也容易受到Nine应用程序的攻击.
这是使用mitmproxy嗅探的流量的解密捕获, 一个开源的黑客工具, 显示帐户凭据以Base64编码的形式出现:
任何 Base64解码 会告诉你这个字段的读数吗 hi@there.这里没什么可看的 (之后的部分) .Com为密码)
堵漏!
幸运的是,有一个明确的修复这个漏洞. 用户可以在“9”中禁用推送同步,手动同步, 一个是在受信任的网络上(不要在任何公共wifi上), 或者使用VPN连接到可信网络. 完全依赖用户从来都不是一个好主意, 因此,IT管理员应该寻找以“9 -”开头的MUA字符串,以在ActiveSync日志中标记应用程序的使用. 然后, 他们可以决定那些目前正在使用NineFolders应用程序访问组织数据的用户应该做什么. 可以访问Rapid7的组织 Logentries 可以简单地通过搜索来识别这样的客户吗 我在哪里(/ 9 - /) 在查询栏中. 然后他们可以给这些用户发邮件,详细说明如何禁用推送, 以及在什么情况下允许手动同步. 鉴于组织不希望全面披露Exchange的客户端凭据,他们应该考虑将强制密码更改作为通知过程的一部分.
准备好提高系统的性能和安全性? 在日志中搜索此漏洞和其他漏洞, 将服务器和基础设施的日志集中在一个地方, 并使用Logentries帐户对环境中的关键事件发出警报. 开始一个 Logentries免费试用30天.
