Исследователь клонировал программный маркер двухфакторной системы аутентификации SecurID RSA

image

Теги: RSA, руткит

Представители RSA заявили, что клонирование можно будет осуществить только на компьютере уже скомпрометированном руткитом.

Старший аналитик по вопросам безопасности в компании SensePost Бехран Фулади (Behrang Fouladi) нашел способ клонирования программного маркера двухфакторной системы аутентификации SecurID RSA. Отметим, что SecurID обеспечивает дополнительный уровень безопасности, к примеру, при подключении по VPN к сети компании. Маркер использует секретные значения и создает временные коды, которые нужно вводить помимо паролей.

Безопасность обоих процессов обеспечивается при помощи привязки маркера к определенной части оборудования. Однако Фулади использовал обратный инжиниринг для маркера программного обеспечения Windows для устранения аппаратного подключения и создания правильного маркера кода с другого компьютера. Этого удалось достичь после копирования закодированной базы данных SQLite, соответствующих секретных ключей и другой информации на вторую систему.

В случае если злоумышленник получает доступ к целевой системе внутри корпоративной сети, используя фишинг атаку или вредоносное ПО, то он может получить постоянный доступ к защищенной SecurID сети. 

В RSA заявили, что на практике такой тип атаки можно будет осуществить лишь на компьютере уже скомпрометированном руткитом.

Подробно с исследованием Фулади можно ознакомиться здесь .


comments powered by Disqus