Eksperter advarer mot sikkerhetshull i Lotus Domino og Notes

Hackersamlingen DEF CON gjør oppmerksom på flere sikkerhetshull

Nederlandske sikkerhetseksperter har i følge CNN funnet sikkerhetshull i Lotus Notes og Domino som går på passordkryptering og sikkerheten på offentlige versjoner av adresselisten.

Dette ble annonsert under sikkerthetsmessen DEF CON av Trust Factory B.V.

Brukernes passord krypteres mens de skrives inn på både Domino og Notes servere, men de alfanumeriske strengene (hash) som de konverteres til kan sammenlignes med en hovedkrypteringsnøkkel og brukes som ekte passord av brukere på samme server.

Trust Factory opplyser videre at det skal en ganske høy grad av kunnskap til for å benytte et av sikkerhetshullene, men web-baserte systemer er ekstra mottakelige.

- Jeg vil ikke beskrive det som en mindre feil. Jeg tror dette kan være ganske alvorlig med tanke på hvordan de fleste Notes servere er satt opp, sa Metthew Devost fra SDI.

Han sier at Notes administratorer enkelt kan beskytte databasene sine ved å "salte" hashene, med andre ord legge til et vilkårlig tall inn i den alfanumeriske strenger som representerer et passord. Dette er en opsjon som er innebygget i nyere versjoner av både Domino og Notes.

En annen måte å bryte seg inn i et system er å bruke såkalt brute-force (rå kraft) angrep med makroer, birus eller andre koder beregnet på å snappe opp brukerens passord. Selv saltede hasher vil bli hacket på denne måten, sier Devost.

Produktansvarlig for Domino, Kevin Lynch og Katherine Spanbauer sier at Lotus allerede har anbefalt sine brukere dette i en tid. Noen systemer trenger dog den usaltede versjonen for å være bakoverkompatible. I følge Lynch er det bare å benytte seg av den andre hashen som har vært tilgjengelig siden versjon 4.6, og man vil ikke lengre være sårbar ovenfor angrepet.

- Dette er en veldig sofistikert form for angrep, og angriperen må ha tilgang til interne ressurser for å benytte seg av det, sier Lynch videre. Angriperen må også bruke spesiell programvare for å dekode passordet, og så legge det der det normalt vil lagres i minne.

Trust Factory og SDI anbefaler at man tar følgende steg for å beskytte databasene sine:

  • Sett restriksjoner på web-tilgang
  • Bruk forskjellig passord for ID og HTTP kontoer
  • Lagre bruker IDer på utskiftbare media
  • Bruk sterk passordhashing
  • Oppgrader manuelt til en sterkere hash
  • Logg helt ut av Notes når du forlater pulten
  • Aldri start e-postvedlegg
Til toppen