← Voltar ao blog

Falha de RNG Fraco em Crypt-SaltedHash Compromete Segurança de Senhas

Uma vulnerabilidade crítica em Crypt-SaltedHash revela que a geração de salt depende de um gerador de números pseudo-aleatórios criptograficamente fraco, permitindo que atacantes prevejam salts e comprometam as proteções de senha. Ubuntu lançou atualizações de segurança para resolver essa falha em sistemas afetados.

TL;DR

  • Crypt-SaltedHash usa RNG fraco para geração de salt, permitindo ataques de previsão de salt
  • Salts previsíveis reduzem significativamente a eficácia das defesas de hash de senha
  • Patch Ubuntu USN-8418-1 resolve a vulnerabilidade em distribuições suportadas
  • Organizações devem atualizar sistemas afetados imediatamente para restaurar integridade criptográfica

Uma fraqueza criptográfica significativa foi identificada em Crypt-SaltedHash, uma biblioteca comumente usada para hash e armazenamento de senhas. A vulnerabilidade decorre do uso de um gerador de números pseudo-aleatórios (PRNG) criptograficamente fraco ao gerar salts—valores aleatórios que devem ser imprevisíveis e únicos para cada hash de senha.

Essa falha cria uma superfície de ataque séria: se um atacante conseguir prever os salts usados durante o hash de senha, ele pode pré-computar valores de hash de forma mais eficiente, acelerando dramaticamente ataques de força bruta e ataques de tabela arco-íris. O modelo de segurança de hash com salt depende inteiramente da imprevisibilidade do salt, tornando isso um compromisso fundamental do mecanismo de defesa.

Ubuntu lançou o aviso de segurança USN-8418-1 para resolver esse problema. Organizações que executam sistemas afetados devem priorizar a aplicação de patches para restaurar as garantias criptográficas que o hash com salt foi projetado para fornecer.

Como a Vulnerabilidade Enfraquece as Proteções Criptográficas

  • Salts devem ser imprevisíveis; a geração fraca de RNG os torna adivinháveis por atacantes
  • Salts previsíveis permitem pré-computação eficiente de tabelas de hash, negando o benefício principal do salt
  • Atacantes podem reduzir o custo computacional de quebra de múltiplas senhas simultaneamente
  • A vulnerabilidade afeta qualquer aplicação ou sistema que dependa de Crypt-SaltedHash para armazenamento de credenciais

Remediação e Melhores Práticas

  • Aplique o patch de segurança Ubuntu USN-8418-1 imediatamente a todos os sistemas e distribuições afetados
  • Verifique se as bibliotecas de hash de senha usam fontes aleatórias criptograficamente seguras (por exemplo, /dev/urandom, os.urandom)
  • Considere fazer re-hash de senhas armazenadas com implementações corrigidas após aplicar o patch
  • Audite aplicações dependentes para confirmar que não estão armazenando em cache ou dependendo de salts fracos gerados anteriormente
  • Monitore padrões de acesso não autorizado que possam indicar exploração dessa fraqueza

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Falha de RNG Fraco em Crypt-SaltedHash Compromete Segurança de Senhas — Agent Breach Blog | Agent Breach