Fałszywy certyfikat SSL dla domeny Microsoftu

Fałszywy certyfikat SSL dla domeny Microsoftu

Dla jednej z domen obsługujących usługę Windows Live wystawiony został fałszywy certyfikat SSL – informuje Microsoft w swoim Security Advisory. Sprawa jest o tyle poważna, że certyfikat został wydany przez jeden z najpopularniejszych Urzędów Certyfikacji (CA).

Windows Live i Comodo

Błędny certyfikat został wystawiony dla domeny live.fi (oraz www.live.fi) przez COMODO RSA Domain Validation Secure Server CA. Skrót SHA-1 certyfikatu, pozwalający na jego identyfikacje to 08 e4 98 72 49 bc 45 07 48 a4 a7 81 33 cb f0 41 a3 51 00 33. Certyfikat ten został już unieważniony przez wystawcę.

Nieprawidłowe wydanie certyfikatu SSL przez Urząd Certyfikacji, któremu ufa zdecydowana większość systemów informatycznych na świecie, może mieć wielu negatywnych skutków. Certyfikat taki mógłby posłużyć chociażby do przeprowadzenia ataku phishingowego lub man-in-the-middle bez wzbudzenia jakichkolwiek podejrzeń i ostrzeżeń ze strony przeglądarek. Na szczęście, w tym przypadku błędnie wydany certyfikat nie może zostać użyty do wystawiania kolejnych certyfikatów, co mogłoby znacznie zwiększyć negatywne konsekwencje całego incydentu.

Waran z Komodo - prawdopodobnie nie ma nic wspólnego ze sprawą

Waran z Komodo – prawdopodobnie nie ma nic wspólnego ze sprawą

Jak doszło do pomyłki?

Comodo, podobnie jak wiele innych CAs, umożliwia przeprowadzenie weryfikacji dostępu do domeny na kilka sposobów. Wśród nich jest metoda pozwalająca na potwierdzenie dostępu do domeny poprzez kliknięcie w link przesłany mailem na jeden ze wskazanych adresów email.

Może być to zarówno adres email pobrany z bazy WHOIS lub jeden z predefiniowanych przez CA będący w tej samej domenie dla której chcemy otrzymać certyfikat. Przykładowo, jeżeli chciałbym uzyskać certyfikat dla domeny example.com to musiałby mieć dostęp do przynajmniej jednej z poniższych skrzynek pocztowych:

  • admin@example.com
  • administrator@example.com
  • postmaster@example.com
  • hostmaster@example.com
  • webmaster@example.com

Powstaje pytanie: jak doszło do wystawienia błędnego certyfikatu? Czy zawiodły procedury weryfikacyjne Comodo? Czy może ktoś uzyskał dostęp do jednego z kont pocztowych Microsoftu?

Mimo braku szczegółów technicznych, informacja przekazana przez Microsoft wyjaśnia tę kwestię:

A certificate was improperly issued due to a misconfigured privileged email account on the live.fi domain. An email account was able to be registered for the live.fi domain using a privileged username, which was subsequently used to request an unauthorized certificate for that domain.

Wynika z niej, że to błąd konfiguracyjny po stronie Microsoftu sprawił, że możliwe było uzyskanie dostępu do maili z konta pocztowego w domenie live.fi co z kolei pozwoliło na potwierdzenie dostępu do domeny w systemie Comodo. Po otrzymaniu potwierdzenia od zamawiającego, że posiada on kontrolę nad daną domeną, Comodo wystawiło certyfikat.

Można jedynie zastanowić się czy w przypadku, gdy do systemu CA trafia żądanie wydania certyfikatu na domenę tak popularnej usługi jak Windows Live nie powinno być ono dodatkowo weryfikowane (pewnym usprawiedliwieniem może być fakt, że domena live.fi, w przeciwieństwie na przykład do live.com, nie zajmuje wysokiego miejsca na liście najpopularniejszych domen)? Być może zadziałał tutaj automat, który gdy tylko otrzymał potwierdzenie poprawnej weryfikacji domeny pozwolił na wystawienie certyfikatu.

Potencjalnym nadużyciom z wykorzystaniem fałszywego certyfikatu może zapobiec stosowanie mechanizmu Public Key Pinning, a w niedalekiej przyszłości takie błędne wydania certyfikatów będzie można ograniczyć dzięki mechanizmowi Certification Authority Authorization (CAA), o którym więcej innym razem.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *