WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Chứng chỉ SSL giả mạo cho Windows Live có thể cho phép tấn công MitM
Một chứng chỉ dành cho tên miền Windows Live Phần Lan do Microsoft quản lý vừa được nhà cung cấp chứng thư số (CA) Comodo theo yêu cầu trái phép gửi đến từ một tài khoản email có tên người dùng được cấp quyền.
Comodo đã thu hồi chứng chỉ ngay sau khi phát hiện hành động lừa đảo. Tuy nhiên, vẫn tồn tại ảnh hưởng đối với những khách hàng Microsoft bởi Danh sách chứng thực khả tín (Certificate Trust List - CTL) có trong tất cả các phiên bản được hỗ trợ của Windows cần phải được cập nhật nhằm loại bỏ hoàn toàn nguy cơ bị tấn công man-in-the-middle (MitM).
Trong khi Mozilla Firefox có kho chứng chỉ riêng, hai trình duyệt Google Chrome và Internet Explorer lại sử dụng Windows CTL để xác thực chứng chỉ SSL. Chứng chỉ này cần được cập nhật để tránh nhập phải dữ liệu giả mạo.
Email với username giống người dùng được cấp quyền bị lợi dụng để lấy chứng chỉ
Chứng chỉ giả mạo có thể được tin tặc sử dụng vào mục đích giả mạo nội dung web Microsoft và tiến hành các cuộc tấn công lừa đảo và MitM; chứ không phù hợp cho việc phát hành các chứng chỉ khác, ký mã phần mềm hoặc giả mạo tên miền khác.
Microsoft cho biết, một người bất kỳ có thể đăng ký tài khoản email cho tên miền “live.fi” sử dụng tên người dùng được cấp quyền. Sau đó, tài khoản này được sử dụng để yêu cầu chứng chỉ trái phép cho tên miền đó.
Những tên người dùng này thường được dùng cho các admin và thường bao gồm “admin”, “administrator” hoặc “webmaster”, theo sau là ký tự “@” và tên miền.
Cách để xác định chủ sở hữu hoặc cá nhân phụ trách tên miền là xác nhận mã do CA gửi đến địa chỉ email được cấp quyền.
Bộ cập nhật độc lập được phát hành
Không cần người dùng can thiệp, Microsoft vừa tự đưa chứng chỉ giả mạo vào danh sách đen trên các hệ thống chạy Windows 8, 8.1, RT, RT 8.1, Server 2012, Server 2012 R2 và trên các thiết bị chạy Windows Phone 8, Windows Phone 8.1.
Đối với Windows Vista, 7, Server 2008 và Server 2008 R2, tool cập nhật tự động có sẵn cho các chứng chỉ bị thu hồi.
Tuy nhiên, nếu người dùng không cài đặt công cụ này thì CTL không thể làm mới để ngăn chặn nguy cơ từ việc nhập dữ liệu. Trong trường hợp này, và đối với các hệ thống Windows Server 2003 được hỗ trợ đến cuối ngày 14/7/2015, Microsoft khuyến nghị người dùng cài đặt bộ cập nhật độc lập cho chứng chỉ bị thu hồi.
Comodo đã thu hồi chứng chỉ ngay sau khi phát hiện hành động lừa đảo. Tuy nhiên, vẫn tồn tại ảnh hưởng đối với những khách hàng Microsoft bởi Danh sách chứng thực khả tín (Certificate Trust List - CTL) có trong tất cả các phiên bản được hỗ trợ của Windows cần phải được cập nhật nhằm loại bỏ hoàn toàn nguy cơ bị tấn công man-in-the-middle (MitM).
Trong khi Mozilla Firefox có kho chứng chỉ riêng, hai trình duyệt Google Chrome và Internet Explorer lại sử dụng Windows CTL để xác thực chứng chỉ SSL. Chứng chỉ này cần được cập nhật để tránh nhập phải dữ liệu giả mạo.
Email với username giống người dùng được cấp quyền bị lợi dụng để lấy chứng chỉ
Chứng chỉ giả mạo có thể được tin tặc sử dụng vào mục đích giả mạo nội dung web Microsoft và tiến hành các cuộc tấn công lừa đảo và MitM; chứ không phù hợp cho việc phát hành các chứng chỉ khác, ký mã phần mềm hoặc giả mạo tên miền khác.
Microsoft cho biết, một người bất kỳ có thể đăng ký tài khoản email cho tên miền “live.fi” sử dụng tên người dùng được cấp quyền. Sau đó, tài khoản này được sử dụng để yêu cầu chứng chỉ trái phép cho tên miền đó.
Những tên người dùng này thường được dùng cho các admin và thường bao gồm “admin”, “administrator” hoặc “webmaster”, theo sau là ký tự “@” và tên miền.
Cách để xác định chủ sở hữu hoặc cá nhân phụ trách tên miền là xác nhận mã do CA gửi đến địa chỉ email được cấp quyền.
Bộ cập nhật độc lập được phát hành
Không cần người dùng can thiệp, Microsoft vừa tự đưa chứng chỉ giả mạo vào danh sách đen trên các hệ thống chạy Windows 8, 8.1, RT, RT 8.1, Server 2012, Server 2012 R2 và trên các thiết bị chạy Windows Phone 8, Windows Phone 8.1.
Đối với Windows Vista, 7, Server 2008 và Server 2008 R2, tool cập nhật tự động có sẵn cho các chứng chỉ bị thu hồi.
Tuy nhiên, nếu người dùng không cài đặt công cụ này thì CTL không thể làm mới để ngăn chặn nguy cơ từ việc nhập dữ liệu. Trong trường hợp này, và đối với các hệ thống Windows Server 2003 được hỗ trợ đến cuối ngày 14/7/2015, Microsoft khuyến nghị người dùng cài đặt bộ cập nhật độc lập cho chứng chỉ bị thu hồi.
Nguồn: Softpedia