📚 Lenovo Ultraslim Dongle AES Counter KeyJack schwache Verschlüsselung
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Lenovo Ultraslim Dongle wurde eine kritische Schwachstelle ausgemacht. Das betrifft eine unbekannte Funktion der Komponente AES Counter. Dank Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle (KeyJack) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
The firmware in Lenovo Ultraslim dongles, as used with Lenovo Liteon SK-8861, Ultraslim Wireless, and Silver Silk keyboards and Liteon ZTM600 and Ultraslim Wireless mice, does not enforce incrementing AES counters, which allows remote attackers to inject encrypted keyboard input into the system by leveraging proximity to the dongle, aka a "KeyJack injection attack."
Die Schwachstelle wurde am 02.08.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-6257 geführt. Der Angriff kann im lokalen Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Die spezielle Ausprägung dieser Schwachstelle führt dazu, dass ihr ein gewisses historisches Interesse beigemessen werden kann.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Betroffen
- Lenovo Liteon SK-8861
- Lenovo Ultraslim Wireless
- Lenovo Silver Silk Keyboard
- Lenovo Liteon ZTM600
- Lenovo Ultraslim Wireless Mouse
CVSSv3
Base Score: 6.3 [?]Temp Score: 6.3 [?]
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:X/RC:X [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 5.4 (CVSS2#AV:A/AC:M/Au:N/C:P/I:P/A:P) [?]Temp Score: 5.4 (CVSS2#E:ND/RL:ND/RC:ND) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Schwache VerschlüsselungLokal: Nein
Remote: Teilweise
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
02.08.2016 Advisory veröffentlicht03.08.2016 VulDB Eintrag erstellt
03.08.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-6257 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 03.08.2016Eintrag: 71.2% komplett
...