พบช่องโหว่ในมาตรฐานการแลกเปลี่ยน Certificate X.509 ทำให้แฝงข้อมูล C&C ลงไปได้

นักวิจัยจาก Fidelis Cybersecurity ได้พบช่องโหว่เพื่อแอบแฝงข้อมูลแบบใหม่โดยใช้กระบวนการมาตรฐานของ Public Key Certificate อย่าง X.509 แบบปกติเพื่อแอบแฝงข้อมูลการสื่อสารแบบ C&C ที่ใช้ควบคุมเครื่องเหยื่อหลังฝังตัวได้แล้ว โดยมาตรฐาน X.509 ถูกใช้ในโปรโตคอลการเข้ารหัสอย่าง TLS และ SSL 

credit : dwdonline.com

นักวิจัยกล่าวว่า Extension ของ X.509 สามารถใช้แฝงข้อมูลของคนร้ายเพื่อลัดผ่านการป้องกันของเครือข่ายที่ไม่มีการดูค่าภายใน Certificate แม้ว่ายังไม่มีรายงานการโจมตีจากช่องโหว่นี้เกิดขึ้นแต่ด้วยความที่มีการใช้งาน Certificate อย่างแพร่หลายในองค์กรต่างๆ จึงก่อให้เกิดความเสี่ยงเกิดขึ้นได้

นักวิจัยได้อธิบายถึงการวิเคราะห์ในเว็บของ Fidelis ไว้ว่า “X.509 มีหลาย Fields ของข้อมูลที่สามารถใส่ String ได้จำนวนมากซึ่งประกอบด้วย Serial Number, Issuer Name, Validity Period และอื่นๆ ทำให้สามารถแอบแฝงข้อมูลไปในหนึ่งใน Fields ข้อมูลเหล่านี้ได้ อีกทั้งขั้นตอนการแลกเปลี่ยน Certificate เกิดขึ้นก่อนสร้างเซสชัน TLS นั่นทำให้มันไม่มีข้อมูลที่ถูกส่งเลยเพราะข้อมูลที่ไม่ดีถูกส่งจบอยู่ภายในกระบวนแลกเปลี่ยน Certificate เอง” ในกรณีของการป้องกันตัวเองซึ่งขั้นตอน PoC นักวิจัยได้ทดสอบด้วย Certificate แบบ Self-signed และการบล็อก Self-signed Certificate นั้นช่วยได้อย่างมาก ส่วนอีกกรณีหนึ่งคือตรวจสอบหาสิ่งที่เป็นภัยภายใน Certificate

ที่มา : http://www.securityweek.com/tls-abusing-covert-data-channel-bypasses-network-defenses และ https://www.infosecurity-magazine.com/news/flaw-in-tlsssl-certificates-covert/ และ https://threatpost.com/covert-data-channel-in-tls-dodges-network-perimeter-protection/129779/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถทำรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …

True IDC ผ่านมาตรฐาน PCI-DSS เพิ่มความแกร่งบริการ Data Center ต่อยอดรองรับธุรกิจด้านการเงินเต็มรูปแบบ

True IDC ผู้นำธุรกิจ Data Center และ Cloud Computing แบบครบวงจรในประเทศไทย ผ่านการตรวจประเมินมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการชำระเงินผ่านบัตรอย่าง PCI-DSS 3.2 พร้อมให้บริการ Infrastructure แก่สถาบันการเงิน ธุรกิจประกันภัย …