Nieuws
image

Microsoft waarschuwt voor valse SSL-certificaten

donderdag 24 maart 2011, 09:07 door Redactie, 4 reacties

Aanvallers zijn erin geslaagd SSL-certificaten in naam van Skype, Microsoft, Mozilla, Google en Yahoo te bemachtigen, zo heeft certificaatuitgever Comodo laten weten. Volgens Comodo zijn aanvallers erin geslaagd een gebruikersaccount van een registration authority (RA) over te nemen. Het RA-account werd vervolgens gebruikt voor het uitgeven van negen certificaten voor zeven verschillende domeinen. Het ging om mail.google.com, www.google.com, login.yahoo.com, login.skype.com, login.live.com, addons.mozilla.org en global trustee. Alleen in het geval van login.yahoo.com werd deze op het internet teruggevonden.

Iran
Comodo benadrukt dat zowel de CA-infrastructuur als de Hardware Security Module (HSM) sleutels niet gehackt zijn. De aanvaller gebruikte verschillende IP-adressen, maar in de meeste gevallen ging het om Iraanse IP's. "De aanvaller was goed voorbereid en wist van tevoren wat hij wilde bereiken. Het lijkt erop dat hij een lijst met doelwitten had van wie hij de certificaten wilde hebben", aldus Comodo.

De Certificate Authority noemt verder dat de aanvaller met chirurgische precisie zijn aanvallen uitvoerde. Ook laat Comodo weten dat Iran recentelijk andere encryptiemethoden heeft geprobeerd aan te vallen. "Dit alles leidt tot één conclusie, dat dit waarschijnlijk een door een staat aangestuurde aanval is."

Patch
Na Firefox en Google heeft ook Microsoft een waarschuwing voor de valse SSL-certificaten afgegeven. Daarin staat dat de aanvallers met de gestolen certificaten phishing en man-in-the-middle-aanvallen tegen alle browsergebruikers konden uitvoeren, waaronder gebruikers van Internet Explorer. Microsoft heeft een update uitgebracht die de valse certificaten blokkeert. De update wordt automatisch geïnstalleerd bij Windowssystemen die de Automatische Update functie hebben ingeschakeld.

Reacties (4)
24-03-2011, 09:19 door Anoniem
Meest gebruikte searchengine, mail, voip en chat providers en ook plugins voor firefox. Lijkt mij ook wel state sponsored, ja. Maar ook zeer nuttig voor de huis en tuin maffia.

Dat zal nog wat pijn gaan opleveren voor de vuilspuiers op het internet.
24-03-2011, 16:29 door Anoniem
Gisteren de update via MS update binnengekregen.
24-03-2011, 17:04 door 0101
Update net vandaag binnengekregen, aardig lijstje valse certificaten nog. Benieuwd of ze al gebruikt zijn.
De advisory via een beveiligde verbinding: https://www.microsoft.com/technet/security/advisory/2524375.mspx
25-03-2011, 08:45 door SL600
Een IP hoeft niet direct verband te houden met een geografische locatie. Als de hacker zo precies te werk is gegaan, dan is het heel aannemelijk dat hij ervoor zorgt dat hij niet getraceerd kan worden. Dus een proxy, of meerdere proxies achter elkaar met een afleiding naar Iran is heel simple om onderzoekers op een dwaalspoor te brengen.

Als de hacker nu met de bemachtigde certificaten een dns server weet over te nemen en nog rampzaliger een die authoritief is voor de gestolen domeinen, dan zijn die bedrijven goed f$#$@^@.

Oplossingen kunnen zijn:
1) zijn eigen root certificaat waarmee onder andere de gestolen certificaten zijn gesigneerd, vervangen of
2) de bedrijven van de gestolen certificaten moeten nieuwe certificaten inbouwen en de gestolen certificaten weren.

Gevolg van oplossing 1 is dat iedereen die certificaten van Comodo hebben, zijn in een klap ongeldig. Dus alle klanten van van Comodo moeten vernieuwde certificaten inregelen.
Gevolg van oplossing 2 is dat alleen de getroffen bedrijven actie moeten ondernemen.

Ik denk dat oplossing 2 is gekozen en uitgevoerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search