No Comments

Kritische Sicherheitslücken werden in PJeOffice, einer Software des Nationalen Justizrates, identifiziert

 

Die Forscher Tiago Assumpção und Robert Connolly, beide vom amerikanischen Sicherheitsunternehmen IOActive, identifizierten eine kritische Sicherheitslücke in PJeOffice. Software, die von Anwälten und Richtern aus ganz Brasilien zum digitalen Signieren von Dokumenten verwendet wird bevor sie an die Plattform des Electronic Judicial Process (PJe) gesendet werden, die wiederum geschaffen wurde, um die Bedürfnisse der gesamten nationalen Justiz zu vereinheitlichen.


Die Ermittlungen begannen 2019, als Rechtsanwalt João Falcão begann, die Möglichkeit einer Automatisierung der Nutzung des Programms zu prüfen, um Informationen zu laufenden Fällen vor Gerichten in ganz Brasilien zu konsultieren und zu analysieren. Kurz darauf wurde festgestellt, dass Das von der Anwendung verwendete Aktualisierungssystem weist eine Lücke auf, die ausgenutzt werden kann durch einen Man-in-the-Middle-Angriff für die Remote-Codeausführung.

Folgendes passiert: Wenn PJeOffice geöffnet wird, wird eine Datei über unverschlüsseltes HTTP heruntergeladen, um nach neuen Updates zu suchen. In diesem Fall wird automatisch ein zweites Paket mit dem Update heruntergeladen. ohne irgendeine Art von SSL- oder TLS-Verschlüsselung. Auf diese Weise kann jeder Angreifer eine solche Kommunikation abfangen und das Herunterladen einer schädlichen Version des Programms erzwingen.

(Wiedergabe / IOActive)

IOActive listet einige Szenarien auf, in denen dies möglich wäre: bei der Verwendung offener WiFi-Netzwerke (Cafés, Restaurants, Bibliotheken usw.), bei ARF-Spoofing-Angriffen, bei DNS-Vergiftungsangriffen und in Situationen, in denen der Router, Repeater oder eine andere Infrastruktur der Netzwerkkomponente des Opfers ist zuvor gefährdet. Der Kriminelle musste lediglich die legitime URL ändern, die für die Aktualisierungen verwendet wurde.

In einem Proof-of-Concept (PoC) konnten die Forscher tatsächlich einen solchen Eingriff in den Prozess durchführen und die Ausführung von Zufallssoftware auf dem PC erzwingen. Ein böswilliger Agent könnte am Ende Erhalten Sie die volle Kontrolle über den Computer und das PJeOffice-Benutzerkonto und genießen Sie möglicherweise alle Ihre Privilegien als Mitglied des Justiz-Ökosystems – sogar Dokumente elektronisch unterschreiben.

Spionage, Manipulation und Verfälschung

Wie die Experten ebenfalls betonten, hätte die einfache, aber sehr schwerwiegende Sicherheitslücke die Fähigkeit, „staatliche und industrielle Spionage, Manipulation des Marktes, Verfälschung von Rechtsprozessen, Manipulation des Justizsystems und Verletzung der Vertrauenskette in die Demokratie“Brasilianer. PJeOffice gibt es seit Juli 2017 mit Versionen für Windows, MacOS, Debian und andere Unix-Distributionen.

Nachdem IOActive in Zusammenarbeit mit João Falcão die Sicherheitslücke identifiziert und nachgewiesen hatte, meldete sie das Problem dem Gerichtshof von Pernambuco (Betreuer der Software) und Das Problem wurde in Build Nummer 1.0.19 gelöst. Der Hack hat den CNJ kontaktiert, aber wir haben erst am Ende dieses Berichts eine Antwort erhalten. Wir werden den Inhalt aktualisieren, sobald die Agentur zu dem Fall Stellung nimmt.


Quelle: IOActive

See the original post at: https://thehack.com.br/vulnerabilidade-critica-e-identificada-em-software-do-conselho-nacional-de-justica/?rand=48891

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.