本月大事件:暴雪、电子艺界、微软等接连发生私钥暴露
近日,不少软件供应商被曝在他们的软件中发送用于数字证书的私钥。这一做法会导致安全漏洞。一旦私钥被发现,将会不可避免地导致证书的撤销。这些案例包括暴雪的战网,电子艺界的Origin,微软的Dynamics 365 for Operations,以及德国官方律师通信软件beA。当软件需要运行本地HTTPS服务器,这种情况就会发生,通常是为了允许让网页和本地软件进行通信。
暴雪捆绑战网的证书和密钥
Tavis Ormandy发现,暴雪的battle.net软件嵌入了由GoDaddy签署的localbattle.net域名证书。该域指向本地IP 127.0.0.1。由于软件在本地运行HTTPS服务器,这自动意味着软件必须包含私钥。因此这种情况被认为是一个密码泄露问题。根据基准要求的证书颁发机构的一套规则,如果向证书颁发机构报告密钥泄漏,证书必须在24小时内撤销。
除了密码泄露,这种证书也可以允许攻击。中间人攻击者可以通过改变战网的DNS回复来将连接重定向至攻击者控制的服务器。由于攻击者可以从软件中提取证书和私钥,所以他可以冒充该服务器。
在证书被撤销之后,暴雪改变了battle.net在本地生成了一个证书,该证书被导入到系统的证书库中。由于私钥是在每个系统上随机生成的,所以如果执行得当,这是一个可接受的解决方案。然而,在Reddit上的一个帖子中,许多用户错误地将新安装的根证书理解为安全风险。
随后,暴雪客户端的另一个由Digicert签名的localbattle.net嵌入式有效证书也被发现。在某些情形下,即使初始修复已完成,这个证书仍会被使用。作为另一个密码泄露问题,该证书再次被撤销。
电子艺界也为其Origin软件使用了一个公开信任的证书,用于clienttolocalhostonly.com域。该证书现已被撤销,该软件使用HTTP连接而不是HTTPS。
在这两种情况下,软件都试图使用公开信任的证书创建本地HTTPS服务器。这是不可接受的。最近,W3C同意了一个可能的解决方案:浏览器可以考虑连接到安全上下文的本地IP 127.0.0.1部分,即使它们是通过HTTP创建的。这不会造成安全问题,因为到本地IP的连接永远不会通过任何网络。 Firefox和Chrome已经支持这个功能。
HTTPS中间人攻击对抗所有德国律师
Markus Drenger在圣诞节前几天发现,德国联邦酒吧(Bundesrechtsanwaltskammer,BRAK)提供的通讯软件有一个非常类似的问题。Besondere elektronisches Anwaltspostfach (beA),直译为“特殊电子律师信箱”,是由Atos公司开发的。其web界面与bealocalhost.de域指向127.0.0.1,TeleSec为该域颁发了一个证书。
按道理说,所有的德国律师都必须在1月1日前用上beA,但这个软件到现在都没法用。该证书撤销后,德国联邦律师事务所试图提供一个快速解决方案,并为bealocalhost.de创建了一个自签名的根证书。律师被要求将这个证书导入当地的根证书商店。然而这一做法让事情变得更糟。因为这是一个私钥是软件的一部分的根证书,它允许任何人可以任意为该域名签发证书。攻击者甚至可以假装谷歌来实施中间人攻击,而所有德国律师都被要求安装该证书。
这个问题在德国媒体Golem.de被登载后,德国联邦酒吧立即关闭了该系统。从那时起一直处于离线状态。值得指出的是,捆绑证书不是beA唯一的安全问题:软件也有一个端到端的加密问题,服务器仍然容易受到ROBOT攻击。
毫无疑问,Atos摊上大事了......
远程登录到Dynamics 365允许提取通配符证书的私钥
微软的Dynamics 365 for Operations发生了另一个稍微不同的情况,即公开信任的证书的私钥被泄露。软件开发人员Matthias Gliwka发现,Dynamics 365的沙箱实例使用通配符证书来提供Web界面。客户可以使用rdesktop协议登录到他们的实例,因而Gliwka能够提取私钥。
在几个月的时间里,微软忽略了Gliwka的报道。然而,在自由新闻工作者Hanno Böck了解到这个案例之后,Mozilla和负责的认证机构Digicert都被告知。此后,微软被迫迅速解决这个问题。证书已被吊销,Dynamics 365的新实例为每个实例使用单独创建的证书。
短新闻回顾
- LinkedIn的几个国家级子域名的数字证书遭遇过期——这促使人们强调自动证书更新的重要性。
- 一篇博文解释了Kubernets使用Let's Encrypt的细节。
- 扩展验证(EV)证书仍然是人们激辩的话题。Scott Helme写了一篇涉及诸多论点的长文。James Burton为了能获得“身份认证”去申请了个EV证书,Ian Carroll也为了“Stripe.Inc”做了同样的事。在Moizlla的安全策略邮件列表中,Ryan Sleevi问道:”是否有考虑过删除或弃用EV证书?“
- 1998年,密码学家Daniel Bleichenbacher在TLS的PKCS#1 v1.5填充模式中发现了针对RSA的严重的攻击。 多年来,研究人员发现了这种攻击的许多变化和改进,最明显的是针对SSL版本2的DROWN攻击。但Bleichenbacher的袭击威胁还没有结束。最近发现的ROBOT攻击是老版本的重生。它冲击了好几个厂商,并且只包含了初始攻击的轻微变种。Facebook、PayPal、帕洛阿尔托网络设备以及IBM的Domino Web服务器均受影响。
- 研究人员公布了跟踪部署CAA DNS记录的数据。 Scott Helme在CAA上发布了类似的数据。
- PhishLabs讨论了越来越多的钓鱼网站使用HTTPS的事实。
- Cloudflare在博客中解释了如何使用BoringSSL进行TLS终止。
- Filippo Valsorda在34C3发表了关于Go TLS中P-256的椭圆曲线函数中进位缺陷的讨论。
- Troy Hunt提供了Pluralsight培训:“每个开发者都必须知道HTTPS。”
- 博客文章解释了如何让证书有时可以用于跨站点脚本(XSS)。
- 来自ElevenPaths的研究人员发现,通过重载本地数据库,可以绕过浏览器中的HSTS(和HPKP),并执行DoS攻击。
- Internetwache项目解释了如何使用证书透明度作为子域的来源。
- Troy Hunt在博客中谈到了他与NatWest(一家英国银行)之间关于它缺乏HTTPS的谈话。
- Twitter用户观察到Tor出口节点将cryptocurrency miner JavaScript注入到网页中,突出了我们应该更喜欢HTTPS的另一个原因,HTTPS保证了传输数据的完整性并避免了这种攻击。
- 在FreeBSD bug跟踪器中,一些关于FreeBSD Web服务上缺乏HTTPS的讨论已经开始。
- 博客文章解释了如何控制参数,如何关闭Micali-Schnorr随机数发生器。 这个随机数字发生器类似于臭名昭着的双重EC DRBG。
- 德国公司AVM International为FRITZ!Box DSL路由器添加了一项功能,允许获取Let's Encrypt证书。 附加条件是,这些路由器的所有主机名现在都通过“证书透明”公开。
- MatrixSSL已经修复了3.9.5版本中的各种安全漏洞。
- 在黑帽会议期间,Eric Filiol提出了一种后门加密算法。 登记册引用他的说法,表明AES也可能被抄袭 - 这几乎没有人相信。 Filiol此前曾声称破解了AES,但这些声明从未得到证实。
- ITIF在美国政府网页上公布了一些关于TLS的统计数据。
- Hyperfox是一个使用本地根证书对TLS进行中间人攻击的工具。
- Lars Klint写了一篇关于如何使用HSTS和用Cloudflare预加载的教程。
- Cloudflare分享了关于TLS和密码学的CPU成本的一些信息。
- OpenSSL修复了Montgomery乘法中的一个漏洞,并修复了SSL_read / SSL_write函数中的一个漏洞。
- Cloudflare的Nick Sullivan总结了TLS 1.3和破解中间件的问题。
- AlwaysOnSSL是一个新的免费和自动认证机构。 它由CertCenter和Digicert运行。 另一个免费的认证机构也被宣布:API-Crypt。 但后者CA的背景细节还没有公开。 在WoSign和StartCom浏览器被排除之后,Let's Encrypt是唯一免费的证书颁发机构。 这也意味着,我们将有更多的免费认证机构推动加密事业的发展。
稿源: Feisty duck