Fin krijgt Microsoft SSL-certificaat door e-mail te sturen
De reden dat Microsoft deze week een SSL-certificaat voor Windows Live ongeldig verklaarde kwam omdat een Finse systeembeheerder die via e-mail had opgevraagd en ook gekregen. Het ingetrokken certificaat was voor het domein Live.fi uitgegeven en maakte het mogelijk om phishing- en Man-in-the-Middle-aanvallen uit te voeren. Tegenover het Finse Tivi laat de man nu weten hoe hij het certificaat in handen kreeg.
Toen Microsoft het domein Live.fi lanceerde bleek het mogelijk om verschillende aliassen te registreren die normaliter voor beheerszaken worden gebruikt. De Finse systeembeheerder besloot naar eigen zeggen "voor de grap" het alias hostmaster@live.fi voor zijn eigen e-mailadres aan te maken, wat tot zijn verbazing ook lukte. Via deze alias kon hij vervolgens proberen om het certificaat voor het domein aan te vragen. SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van het onterecht uitgegeven certificaat voor Live.fi was dit door de Certificaat Autoriteit Comodo uitgegeven.
Voordat een SSL-certificaat voor een domein kan worden aangevraagd moet de vragende partij bewijzen dat hij of zij de eigenaar van het domein is. Hiervoor blijkt Comodo een bevestigingsmail te sturen naar een e-mailadres zoals admin@, administrator@, postmaster@, hostmaster@ of webmaster@ de domeinnaam waarvoor het certificaat wordt opgevraagd.
De Finse systeembeheerder besloot via de alias hostmaster@live.fi het certificaat voor het domein Live.fi aan te vragen en ontving inderdaad de bevestigingsmail in zijn inbox. De man zou hierna de Finse telecomwaakhond voor het probleem hebben gewaarschuwd, maar kreeg geen hulp. Vervolgens waarschuwde hij Microsoft, maar ook daar bleef het stil, totdat Microsoft deze week besloot om het onterecht uitgegeven certificaat in te trekken.
Er waren diverse mensen die root@hetnet.nl info@hetnet.nl abuse@hetnet.nl en postmaster@hetnet.nl hadden
gekozen als mailadres. Vooral die info@hetnet.nl die was heel actief op allerlei forums. Tot men er bij hetnet genoeg
van kreeg en al die adressen werden opgeheven.
Niet echt iets nieuws onder de zon dus. Wat me wel verbaast is de tekst in het artikel:
"SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van Live.fi is Comodo de Certificaat Autoriteit".
Zo werkt het helemaal niet, en dat is juist een grote makke in het systeem. Er is niet een CA gekoppeld aan een domein,
maar IEDERE CA die vertrouwd wordt in je browser (of waarmee je de verbinding ook opzet) kan certificaten uitgeven voor
alle domeinen. Daarom haalt 1 zwakke CA het hele systeem onderuit.
Live.fi is nu down dus ik kan niet zien welke CA het officiele certificaat uitgeeft, maar dat is vast niet Comodo. Echter niets
houdt Comodo tegen er ook een certificaat voor uit te geven en dat heeft dan vrijwel niemand door.
Er waren diverse mensen die root@hetnet.nl info@hetnet.nl abuse@hetnet.nl en postmaster@hetnet.nl hadden
gekozen als mailadres. Vooral die info@hetnet.nl die was heel actief op allerlei forums. Tot men er bij hetnet genoeg
van kreeg en al die adressen werden opgeheven.
Niet echt iets nieuws onder de zon dus. Wat me wel verbaast is de tekst in het artikel:
"SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van Live.fi is Comodo de Certificaat Autoriteit".
Zo werkt het helemaal niet, en dat is juist een grote makke in het systeem. Er is niet een CA gekoppeld aan een domein,
maar IEDERE CA die vertrouwd wordt in je browser (of waarmee je de verbinding ook opzet) kan certificaten uitgeven voor
alle domeinen. Daarom haalt 1 zwakke CA het hele systeem onderuit.
Live.fi is nu down dus ik kan niet zien welke CA het officiele certificaat uitgeeft, maar dat is vast niet Comodo. Echter niets
houdt Comodo tegen er ook een certificaat voor uit te geven en dat heeft dan vrijwel niemand door.
AMEN , eindelijk iemand die het goed ziet... :)
Hij had hostmaster aangevraagd en gekregen. Wie hebben al die andere adressen? Als die wel intern bij Microsoft uitkomen, dan hebben daar ook mensen zitten slapen. Als er hier een mail komt betreffende een certificaat, gaan er alarmbellen af en wordt er nagevraagd of dit wel klopt.
Peter
Niemand, het stomme is dat het niet goed geblokkeerd was en je het adres kon gebruiken bij het aanmelden op hun site.
Gewoon stom van Microsoft, ze hebben niks geleerd.
Dit is hun voor oa. hotmail.com ook al overkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.