Possíveis Ataques de Força Bruta em Senhas da Oracle

image_pdfimage_print

Um renomado pesquisador de segurança disponibilizou detalhes importantes sobre as vulnerabilidades detectadas no protocolo de autenticação do banco de dados Oracle, que ele originalmente descobriu existir em 2010. O pesquisador Esteban Martinez Fayó, especialista em segurança da AppSec, apresentou suas descobertas e os métodos pelos quais elas podem ser exploradas durante a Conferência de Segurança de Ekoparty, que atualmente está acontecendo em Buenos Aires.

Embora a Oracle tenha fechado a brecha de segurança com o lançamento  de um conjunto de patches 11.2.0.3, que introduziu a nova versão 12 do protocolo (em meados de 2011), Fayó disse que não houve nenhuma correção para as versões 11.1 e 11.2 do banco de dados porque a atualização não foi incluída em qualquer um dos regulares comunicados da Oracle em relação aos “patches de correção críticos”. O pesquisador explicou que a menos que os administradores ativem o novo protocolo manualmente, o banco vai continuar a usar a versão vulnerável, a 11.2.

Fayó diz que quando uma tentativa de log-in é feita, o servidor de banco de dados inicialmente envia uma chave de sessão e o salt value do hash de senha. Aparentemente, os potenciais atacantes requerem apenas o nome de um usuário e de um arquivo de banco de dados, pois eles podem então, abortar a comunicação com o servidor e iniciar um ataque de força bruta contra a senha (offline). Porém, este método não causa qualquer falha na tentativa de log-in registrada nos arquivos de log.

Fonte: Under-Linux

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: CompTIA Security+, EXIN EHF, MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação, Ethical Hacking e Perícia Forense.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!