Fin krijgt Microsoft SSL-certificaat door e-mail te sturen
De reden dat Microsoft deze week een SSL-certificaat voor Windows Live ongeldig verklaarde kwam omdat een Finse systeembeheerder die via e-mail had opgevraagd en ook gekregen. Het ingetrokken certificaat was voor het domein Live.fi uitgegeven en maakte het mogelijk om phishing- en Man-in-the-Middle-aanvallen uit te voeren. Tegenover het Finse Tivi laat de man nu weten hoe hij het certificaat in handen kreeg.
Toen Microsoft het domein Live.fi lanceerde bleek het mogelijk om verschillende aliassen te registreren die normaliter voor beheerszaken worden gebruikt. De Finse systeembeheerder besloot naar eigen zeggen "voor de grap" het alias hostmaster@live.fi voor zijn eigen e-mailadres aan te maken, wat tot zijn verbazing ook lukte. Via deze alias kon hij vervolgens proberen om het certificaat voor het domein aan te vragen. SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van het onterecht uitgegeven certificaat voor Live.fi was dit door de Certificaat Autoriteit Comodo uitgegeven.
Voordat een SSL-certificaat voor een domein kan worden aangevraagd moet de vragende partij bewijzen dat hij of zij de eigenaar van het domein is. Hiervoor blijkt Comodo een bevestigingsmail te sturen naar een e-mailadres zoals admin@, administrator@, postmaster@, hostmaster@ of webmaster@ de domeinnaam waarvoor het certificaat wordt opgevraagd.
De Finse systeembeheerder besloot via de alias hostmaster@live.fi het certificaat voor het domein Live.fi aan te vragen en ontving inderdaad de bevestigingsmail in zijn inbox. De man zou hierna de Finse telecomwaakhond voor het probleem hebben gewaarschuwd, maar kreeg geen hulp. Vervolgens waarschuwde hij Microsoft, maar ook daar bleef het stil, totdat Microsoft deze week besloot om het onterecht uitgegeven certificaat in te trekken.
Er waren diverse mensen die root@hetnet.nl info@hetnet.nl abuse@hetnet.nl en postmaster@hetnet.nl hadden
gekozen als mailadres. Vooral die info@hetnet.nl die was heel actief op allerlei forums. Tot men er bij hetnet genoeg
van kreeg en al die adressen werden opgeheven.
Niet echt iets nieuws onder de zon dus. Wat me wel verbaast is de tekst in het artikel:
"SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van Live.fi is Comodo de Certificaat Autoriteit".
Zo werkt het helemaal niet, en dat is juist een grote makke in het systeem. Er is niet een CA gekoppeld aan een domein,
maar IEDERE CA die vertrouwd wordt in je browser (of waarmee je de verbinding ook opzet) kan certificaten uitgeven voor
alle domeinen. Daarom haalt 1 zwakke CA het hele systeem onderuit.
Live.fi is nu down dus ik kan niet zien welke CA het officiele certificaat uitgeeft, maar dat is vast niet Comodo. Echter niets
houdt Comodo tegen er ook een certificaat voor uit te geven en dat heeft dan vrijwel niemand door.
Er waren diverse mensen die root@hetnet.nl info@hetnet.nl abuse@hetnet.nl en postmaster@hetnet.nl hadden
gekozen als mailadres. Vooral die info@hetnet.nl die was heel actief op allerlei forums. Tot men er bij hetnet genoeg
van kreeg en al die adressen werden opgeheven.
Niet echt iets nieuws onder de zon dus. Wat me wel verbaast is de tekst in het artikel:
"SSL-certificaten worden door Certificaat Autoriteiten uitgegeven. In het geval van Live.fi is Comodo de Certificaat Autoriteit".
Zo werkt het helemaal niet, en dat is juist een grote makke in het systeem. Er is niet een CA gekoppeld aan een domein,
maar IEDERE CA die vertrouwd wordt in je browser (of waarmee je de verbinding ook opzet) kan certificaten uitgeven voor
alle domeinen. Daarom haalt 1 zwakke CA het hele systeem onderuit.
Live.fi is nu down dus ik kan niet zien welke CA het officiele certificaat uitgeeft, maar dat is vast niet Comodo. Echter niets
houdt Comodo tegen er ook een certificaat voor uit te geven en dat heeft dan vrijwel niemand door.
AMEN , eindelijk iemand die het goed ziet... :)
Hij had hostmaster aangevraagd en gekregen. Wie hebben al die andere adressen? Als die wel intern bij Microsoft uitkomen, dan hebben daar ook mensen zitten slapen. Als er hier een mail komt betreffende een certificaat, gaan er alarmbellen af en wordt er nagevraagd of dit wel klopt.
Peter
Niemand, het stomme is dat het niet goed geblokkeerd was en je het adres kon gebruiken bij het aanmelden op hun site.
Gewoon stom van Microsoft, ze hebben niks geleerd.
Dit is hun voor oa. hotmail.com ook al overkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
