Possíveis Ataques de Força Bruta em Senhas da Oracle

Um renomado pesquisador de segurança disponibilizou detalhes importantes sobre as vulnerabilidades detectadas no protocolo de autenticação do banco de dados Oracle, que ele originalmente descobriu existir em 2010. O pesquisador Esteban Martinez Fayó, especialista em segurança da AppSec, apresentou suas descobertas e os métodos pelos quais elas podem ser exploradas durante a Conferência de Segurança de Ekoparty, que atualmente está acontecendo em Buenos Aires.



Embora a Oracle tenha fechado a brecha de segurança com o lançamento de um conjunto de patches 11.2.0.3, que introduziu a nova versão 12 do protocolo (em meados de 2011), Fayó disse que não houve nenhuma correção para as versões 11.1 e 11.2 do banco de dados porque a atualização não foi incluída em qualquer um dos regulares comunicados da Oracle em relação aos "patches de correção críticos". O pesquisador explicou que a menos que os administradores ativem o novo protocolo manualmente, o banco vai continuar a usar a versão vulnerável, a 11.2.

Fayó diz que quando uma tentativa de log-in é feita, o servidor de banco de dados inicialmente envia uma chave de sessão e o salt value do hash de senha. Aparentemente, os potenciais atacantes requerem apenas o nome de um usuário e de um arquivo de banco de dados, pois eles podem então, abortar a comunicação com o servidor e iniciar um ataque de força bruta contra a senha (offline). Porém, este método não causa qualquer falha na tentativa de log-in registrada nos arquivos de log.




Saiba Mais:

[1] Heise On-line http://www.h-online.com/security/new...e-1714357.html