image

Firefox-gebruikers via gecachte certificaten te identificeren

woensdag 22 februari 2017, 08:02 door Redactie, 8 reacties

Een beveiligingsonderzoeker heeft een manier gevonden om Firefox-gebruikers aan de hand van door de browser gecachte certificaten te identificeren. Het gaat om zogeheten intermediate certificaten. Firefox beschikt standaard over verschillende rootcertificaten van certificaatautoriteiten.

Ssl-certificaten die door deze certificaatautoriteiten worden uitgegeven, worden automatisch door de browser vertrouwd. Het is voor deze certificaatautoriteiten echter ook mogelijk om onder het eigen rootcertificaat een intermediate certificaat uit te geven, bijvoorbeeld aan een partner of ander bedrijfsonderdeel. Zodoende worden onder het intermediate certificaat uitgegeven ssl-certificaten ook door de browser vertrouwd.

In het geval een Firefox-gebruiker een website met een intermediate certificaat bezoekt wordt zowel informatie over het ssl-certificaat van de website als de intermediate certificaatautoriteit verstuurd. Firefox bewaart vervolgens de informatie over de intermediate certificaatautoriteit in de eigen cache. In het geval de webserver verkeerd is geconfigureerd en alleen informatie over het ssl-certificaat verstuurt, maar informatie over de intermediate certificaatautoriteit achterwege laat, zal de website niet door Firefox worden geladen, tenzij de intermediate certificaatautoriteit zich al in de cache van de browser bevindt.

Op deze manier is het vervolgens mogelijk om te kijken welke intermediate certificaatautoriteiten een Firefox-gebruiker in zijn of haar cache heeft staan. Onderzoeker Alexander Klink rapporteerde het probleem bij Mozilla, maar de opensource-ontwikkelaar zou huiverig zijn om het probleem te verhelpen zonder te weten wat hiervan de impact zal zijn. Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen. Het probleem doet zich niet voor bij Chrome en Internet Explorer. Firefox-gebruikers die zich hier tegen willen wapenen krijgen het advies om regelmatig hun profiel op te schonen. Klink heeft een website online gezet die de aanval demonstreert.

Reacties (8)
22-02-2017, 11:25 door Anoniem
Speelt dit issue ook nog als je na elke sessie je cache leeg maakt? Wordt mij niet helemaal duidelijk.
22-02-2017, 11:50 door Anoniem
"Het is voor deze certificaatautoriteiten echter ook mogelijk om onder het eigen rootcertificaat een intermediate certificaat uit te geven"

Certificate Authorties geven servercertificaten nooit uit zonder een intermediate certificate te gebruiken omdat:
1- anders de revocation list van de root veel te lang wordt. Een intermediate kunnen ze vervangen maar de root niet
2- bij wijzigingen in crypto een nieuwe intermediate gebruikt kan worden (bijvoorbeeld SHA256 in plaats van SHA-1)

"Het probleem doet zich niet voor bij (Chrome en) Internet Explorer"

Niet bij IE? Kijk eens even met de local certificate snapin in MMC naar je intermediates...

teun
22-02-2017, 13:30 door Anoniem
RequestPolicy is een fantastische addon, maar die wordt helaas niet meer bijgewerkt. Er zijn twee alternatieven die actief onderhouden worden:

RequestPolicy Continued
https://addons.mozilla.org/en-US/firefox/addon/requestpolicy-continued/

uMatrix
https://addons.mozilla.org/en-us/firefox/addon/umatrix/
uMatrix biedt nog fijnmaziger block- en allow-mogelijkheden.
22-02-2017, 13:48 door Briolet
Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen.
Ik meende juist deze week gelezen te hebben dat de volgende versie van Firefox altijd in een sandbox zal draaien. Dan valt dit argument al af.

Certificate Authorties geven servercertificaten nooit uit zonder een intermediate certificate te gebruiken omdat
Ik snapte de opmerking van de redactie ook al niet omdat ik nog nooit gezien had dat een certificaat van een website rechtstreeks naar de root verwees.
22-02-2017, 15:18 door Anoniem
Door Anoniem: Speelt dit issue ook nog als je na elke sessie je cache leeg maakt? Wordt mij niet helemaal duidelijk.

Cookies hebben hier helemaal niets mee te maken. Microsoft zet certificaten in de Registry (voor alle software die de MS Crypto API gebruikt). Mozilla zet certiicaten in de *.db files in de profile directory (van TB en FF afzonderlijk)

teun
22-02-2017, 23:14 door Erik van Straten
22-02-2017, 11:25 door Anoniem: Speelt dit issue ook nog als je na elke sessie je cache leeg maakt?
Ja. Ook al gooi je alle gecachte gegevens weg, dat heeft geen invloed op de database met certificaten.

22-02-2017, 13:48 door Briolet:
Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen.
Ik meende juist deze week gelezen te hebben dat de volgende versie van Firefox altijd in een sandbox zal draaien. Dan valt dit argument al af.
Dat verwacht ik niet. De sandbox is bedoeld om de omgeving op jouw PC buiten Firefox te beschermen, ik vermoed dat jouw profielmap (inclusief bladwijzers, cache en speciale instellingen per site - waaronder trusted self-signed certs) binnen die sandbox gaan vallen. Dus vermoedelijk ook cached intermediate certificaten.
23-02-2017, 09:56 door Anoniem
Door Briolet:
Klink stelt dat aanvallers van de bug gebruik kunnen maken om te bepalen of de browser in een sandbox draait om vervolgens te besluiten eventuele malware niet te versturen.
Ik meende juist deze week gelezen te hebben dat de volgende versie van Firefox altijd in een sandbox zal draaien. Dan valt dit argument al af.
Klink heeft het over een "malware analysis sandbox (which would probably have none or very few of the common intermediates cached)". Dat gaat over iets anders dan de sandbox die in een browser is ingebouwd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.