Nep SSL-certificaat misleidt IE, Chrome en Safari
Een beveiligingsonderzoeker heeft een nep SSL-certificaat voor PayPal.com gepubliceerd dat probleemloos door Internet Explorer, Safari en Google Chrome wordt geaccepteerd. Het certificaat van Tim Jones misbruikt een lek in de Microsoft CyptoAPI library die de drie browsers gebruiken. De kwetsbaarheid werd meer dan negen weken geleden tijdens de Black Hat conferentie al onthuld, maar de softwaregigant heeft het nog altijd niet gepatcht.
In combinatie met een andere tool SSLSniff, is het daardoor mogelijk een PayPal website voor te schotelen waarvan gebruikers niet kunnen achterhalen of die legitiem is of niet, ook al loopt die via HTTPs. Het probleem is dat de browser alle tekst na de \ en 0 (null) karakters negeert. Aanvallers kunnen een SSL certificaat voor een eigen website registreren en dan de domeinnaam van de website invoeren die ze willen vervalsen. Jones verwacht niet dat het certificaat kan worden teruggeroepen, aangezien lekken in het Online Certificate Status Protocol dat zeer lastig maken.
Game over
"Als je dit in combinatie met SSLSniff gebruikt is het game over", aldus Moxie Marlinspike, die in juli al demonstreerde hoe SSL-certificaten te vervalsen zijn. Hij is niet blij met de publicatie van het certificaat, wat hij "persoonlijk frustrerend" noemt. "Technisch echter, is het eerlijker dat Windows gebruikers risico lopen, omdat Microsoft het lek niet patcht." De kwetsbaarheid werd een aantal dagen na Black Hat door Mozilla in Firefox wel gepatcht.
ze dwingen users gewoon tot een ander OS, waar het mischien wel gepatched word.
Het lijkt mij dat het alleen op het Windows platform gebeurt. Andere OS'en hebben hun eigen crypto libraries.
In het geval je het niet vertrouwd kun je Firefox installeren, die is gepatched en zit je op elk platform goed. Je kunt later altijd weer terug naar je favoriete browser. Er is op dit moment alleen een workaround, zoals hiervoor beschreven, beschikbaar.
Edit: Ook Opera is veilig. Zowel Firefox als Opera gebruiken niet de MS crypto api.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.