Microsoft waarschuwt voor vals Google certificaat
Een Turkse verstrekker van SSL-certificaten heeft een frauduleus certificaat voor Google.com uitgegeven dat actief bij het aanvallen van internetgebruikers is ingezet, aldus Microsoft. Google waarschuwde vandaag dat Chrome op 24 december ongautoriseerde certificaten voor het '*.google.com' domein ontdekte en blokkeerde. Verder onderzoek wees uit dat de certificaten door de Turkse certificaatverstrekker Turktrust waren verstrekt.
SSL-certificaten worden gebruikt voor het versleutelen van verkeer tussen websites en bezoekers en geven bezoekers de mogelijkheid om de identiteit van de website te valideren. Met valste certificaten is het mogelijk om versleuteld verkeer te onderscheppen. Hiervoor moet een aanvaller wel in een positie zijn om zich tussen het slachtoffer en de bezochte website te begeven.
Turktrust is een intermediate certificate authority (CA), dat als een soort tussenpersoon SSL-certificaten mag uitgeven. Intermediate CA certificaten hebben echter de zelfde autoriteit als de Certificate Authority waar de intermediate-partij onder valt. Het is dan ook mogelijk om voor alle websites certificaten te genereren die een aanvaller zou willen immiteren.
Ongeluk
Het valse certificaat voor Google zou al in augustus 2011 zijn gemaakt. Volgens Turktrust waren de twee intermediate CA-certificaten per ongeluk aan organisaties verstrekt, die eigenlijk gewone SSL-certificaten hadden moeten ontvangen. Microsoft laat weten dat de frauduleus gegenereerde certificaten voor echte aanvallen zijn ingezet.
Oplossing
Zowel Microsoft als Google hebben de valse certificaten inmiddels ingetrokken. Gebruikers van Windows Vista en nieuwer, die de Certificate Trust List feature van juni hebben geinstalleerd, hoeven hier niets voor te doen. Voor Windows XP en Server 2003 en Windows-gebruikers die de Certificate Trust List feature niet hebben geïnstalleerd, is een update verschenen.
Deze update wordt automatisch aangeboden en Microsoft adviseert gebruikers die meteen te installeren.
In het geval van Google Chrome zijn de valse certificaten al sinds 26 december geblokkeerd. Mozilla zal op 8 januari voor Firefox een update uitbrengen die de ondersteuning van de twee valse certificaten intrekt.
Hack
Hoewel de certificaten voor echte aanvallen zijn ingezet, is het onduidelijk of Turktrust gehackkt is, of dat het om een ongeluk ging. Dennis Fisher van Kaspersky Lab merkt op dat het waarschijnlijk om een fout gaat aan de kant van de SSL-verstrekker en er geen sprake van een hack is.
Maar Google maakt het controleren ook wel erg moeilijk door zoveel certificaten te gebruiken.
Ik gebruik een Certificate Patrol extensie die normaal keurig weergeeft wanneer er iets raars aan
de hand is met een certificaat (andere uitgever dan normaal, bijvoorbeeld) maar bij Google slaat
dat ding bij ieder bezoek alarm omdat ze kennelijk allemaal verschillende certificaten op alle
servers in hun cloud hebben. Laten ze daar eens wat aan doen.
Misschien een beetje flauw, maar als de enige manier van "veilig" data uitwisselen steeds op deze manier in het
nieuws blijft komen dan is er toch echt een probleem. Hoelang zal men dan vertrouwen hebben in SSL oplossingen?
Vanuit http://www.cupfighter.net/index.php/2013/01/turktrust-fraudulent-digital-certificates-could-allow-spoofing-diginotar-the-sequel/turktrust/ kun je http://www.cupfighter.net/wp-content/uploads/2013/01/turktrust.rar downloaden. Die rar file heeft een SHA1SUM van 680c1cd97e8fe020ee0724f6dc95c3a33d3c0112 en bevat "turktrust.reg" (met een sha1sum van 33ec51fcf1e23f3d7fc48b652eb94d69d3c65c33).
Ik heb zojuist KB2798897 op m'n XPSP3 notebook geïnstalleerd (nadat deze automatisch was aangeboden). Deze update voegt dezelfde 3 certificaten als bovenaan http://www.cupfighter.net/index.php/2013/01/turktrust-fraudulent-digital-certificates-could-allow-spoofing-diginotar-the-sequel/ genoemd worden, aan het register toe (onder HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\):
1) *.EGO.GOV.TR issued by TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri (2011-08-08) - CA certificaat
2) *.google.com issued by *.EGO.GOV.TR (2012-12-06) - Server/Client certificaat
3) e-islem.kktcmerkezbankasi.org issued by TURKTRUST Elektronik Sunucu Sertifikasi Hizmetleri (2011-08-08) - CA certificaat
Genoemde rar file importeren doet exact hetzelfde als MS KB2798897 uitvoeren (ik heb de 3 nieuwe registry subkeys met data eronder geëxporteerd, van Unicode omgezet naar ANSI, ze achter elkaar in 1 file gezet, en die file vergeleken met turktrust.reg van Matthijs; na het verwijderen van een overtollige "enter" op het einde bleken beide bestanden identiek).
Je kunt als volgt controleren of je beschermd bent (ik heb een Entelstalige Windows):
1) Open Start menu -> uitvoeren
2) Tik certmgr.msc gevolgd door enter
3) Met de regel linksbovenin geselecteerd, klik je onder menu "View..." op "Options..."
4) Zet een vinkje voor "Physical Certificate Stores"
Open links:
[+] Registry
[+] Group Policy
[-] Local Computer
- Certificates
Nb deze update lijkt NIET te worden aangeboden voor Windows 7. De reden daarvoor zou kunnen zijn dat het root CA certificaat "TÜRKTRUST Elektronik Sunucu Sertifikas? Hizmetleri" in W7 standaard niet is geïnstalleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
