• Oracle: Revelada Nova Vulnerabilidade

    Publicado em 04-10-2012 13:32
    0 Comentários Comentários
    Durante a realização da conferência DerbyCon 2.0, que ocorreu no período de 27 a 30 de setembro de 2012, os especialistas em segurança Laszlo Toth e Ferenc Spala apresentaram uma série de ataques, alguns dos quais foram previamente desconhecidos, em bancos de dados Oracle e servidores SQL, pois, ao mesmo tempo, os especialistas ainda lançaram ferramentas adequadas para explorar as vulnerabilidades existentes. Em "Hacking the Oracle Client", Laszlo Toth demonstrou que, embora a Oracle possa salvar o nome de usuário e senha relacionados a uma conexão de banco de dados (de forma criptografada) na memória principal do cliente, esses dados permanecem na memória após a sessão ter sido encerrada e podem ser facilmente decifrados.



    Especialistas em segurança fizeram demonstração referente à falha de segurança em banco de dados da Oracle


    Um trojan, por exemplo, pode explorar esse harvest plain text de senhas a partir do cliente, o que foi demonstrado, de forma impressionante, pela extensão ocioralog Meterpreter. Os especialistas também demonstraram como conexões Oracle pode ser sequestrado e exploradas. Devido à vulnerabilidade de segurança de TNS Poisoning que não foi corrigida, a sua abordagem funciona com qualquer banco de dados Oracle padrão, a menos que medidas especiais de segurança tenham sido implementadas.

    Além disso, o proxy pytnsproxy TNS, que foi apresentado em combinação com um módulo Metasploit chamado tnspoison, permite que atacantes não autenticados possam "farejar" ou modificar as conexões com o banco de dados; dessa forma, comandos arbitrários SQL podem até mesmo ser enviado com o proxy TNS.





    Saiba Mais:

    [1] Heise On-line http://www.h-online.com/security/new...d-1723371.html
    + Enviar Comentário