выявлена уязвимость в системе проверки владения доменом, позволявшая получить TLS-сертификат для любого домена, предоставившего email атакующему. Для получения TLS-сертификата было достаточно доступа к email с целевым доменом. Например, уязвимость позволяла получить TLS-сертификат для доменов, используемых в общедоступных email-сервисах, таких как gmail.com, yandex.ru, yahoo.com, outlook.com и icloud.com.
Уязвимость также давала злоумышленникам возможность проводить целевые атаки на сотрудников известных компаний и участников крупных проектов для захвата доступа к их email и получения TLS-сертификатов для известных доменов. Например, взлом сотрудника Google, имеющего email name@google.com, позволял получить сертификат для домена google.com.
Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись «_validation-contactemail». Например, «_validation-contactemail.test.com DNS TXT name@example.com». После инициирования проверки домена на email name@examle.com будет отправлен код подтверждения, ввод которого подтверждает владение доменом «test.com» и позволяет получить TLS-сертификат для «test.com».
Суть уязвимости в том, что помимо домена «test.com», для которого был запрошен сертификат, признак подтверждения владения также выставлялся и для домена «example.com», используемого в email.
Выявивший проблему исследователь продемонстрировал получение рабочего TLS-сертификата для домена aliyun.com, применяемого в webmail-сервисе китайской компании Alibaba. В ходе тестовой атаки исследователь зарегистрировал проверочный домен «d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com» в сервисе «dcv-inspector.com» и запросил для него TLS-сертификат, добавив DNS-запись:
_validation-contactemail.d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com DNS TXT myusername@aliyun.com
После этого он запросил на сайте SSL.com TLS-сертификат для домена d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и выбрал подтверждение по email. Удостоверяющий центр SSL.com отправил проверочный код на myusername@aliyun.com и после ввода этого кода добавил в список верифицированных доменов не только «d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com», но и «aliyun.com». После этого исследователь успешно получил TLS-сертификат для домена «aliyun.com», владение которым было подтверждено.
Удостоверяющий центр SSL.com устранил проблему и выявил 11 сертификатов, при выдаче которых была использована уязвимая схема проверки со сторонним доменом в email. Предположительно, в выявленных случаях отсутствуют признаки вредоносной активности и из 11 пока отозван только один сертификат, полученный исследователем для сайта aliyun.com. В остальных сертификатах фигурировали домены
medinet.ca, help.gurusoft.com.sg, banners.betvictor.com, production-boomi.3day.com, kisales.com и medc.kisales.com. Отчёт об инциденте компания SSL.com намерена опубликовать до 2 мая.
Источник: http://www.opennet.ru/opennews/art.shtml?num=63116