พบช่องโหว่ในมาตรฐานการแลกเปลี่ยน Certificate X.509 ทำให้แฝงข้อมูล C&C ลงไปได้

นักวิจัยจาก Fidelis Cybersecurity ได้พบช่องโหว่เพื่อแอบแฝงข้อมูลแบบใหม่โดยใช้กระบวนการมาตรฐานของ Public Key Certificate อย่าง X.509 แบบปกติเพื่อแอบแฝงข้อมูลการสื่อสารแบบ C&C ที่ใช้ควบคุมเครื่องเหยื่อหลังฝังตัวได้แล้ว โดยมาตรฐาน X.509 ถูกใช้ในโปรโตคอลการเข้ารหัสอย่าง TLS และ SSL 

credit : dwdonline.com

นักวิจัยกล่าวว่า Extension ของ X.509 สามารถใช้แฝงข้อมูลของคนร้ายเพื่อลัดผ่านการป้องกันของเครือข่ายที่ไม่มีการดูค่าภายใน Certificate แม้ว่ายังไม่มีรายงานการโจมตีจากช่องโหว่นี้เกิดขึ้นแต่ด้วยความที่มีการใช้งาน Certificate อย่างแพร่หลายในองค์กรต่างๆ จึงก่อให้เกิดความเสี่ยงเกิดขึ้นได้

นักวิจัยได้อธิบายถึงการวิเคราะห์ในเว็บของ Fidelis ไว้ว่า “X.509 มีหลาย Fields ของข้อมูลที่สามารถใส่ String ได้จำนวนมากซึ่งประกอบด้วย Serial Number, Issuer Name, Validity Period และอื่นๆ ทำให้สามารถแอบแฝงข้อมูลไปในหนึ่งใน Fields ข้อมูลเหล่านี้ได้ อีกทั้งขั้นตอนการแลกเปลี่ยน Certificate เกิดขึ้นก่อนสร้างเซสชัน TLS นั่นทำให้มันไม่มีข้อมูลที่ถูกส่งเลยเพราะข้อมูลที่ไม่ดีถูกส่งจบอยู่ภายในกระบวนแลกเปลี่ยน Certificate เอง” ในกรณีของการป้องกันตัวเองซึ่งขั้นตอน PoC นักวิจัยได้ทดสอบด้วย Certificate แบบ Self-signed และการบล็อก Self-signed Certificate นั้นช่วยได้อย่างมาก ส่วนอีกกรณีหนึ่งคือตรวจสอบหาสิ่งที่เป็นภัยภายใน Certificate

ที่มา : http://www.securityweek.com/tls-abusing-covert-data-channel-bypasses-network-defenses และ https://www.infosecurity-magazine.com/news/flaw-in-tlsssl-certificates-covert/ และ https://threatpost.com/covert-data-channel-in-tls-dodges-network-perimeter-protection/129779/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ทีม Netflix พบช่องโหว่ DoS หลายรายการบน Linux และ FreeBSD

Jonathan Looney จากทีม Netflix Information Security ได้ออกมาเปิดเผยถึงช่องโหว่หลายรายการบน Linux และ FreeBSD ซึ่งมีสาเหตุมาจากการจัดการกับ TCP Networking ไม่ดีเพียงพอ ส่งผลให้แฮ็กเกอร์สามารถเจาะช่องโหว่จากระยะไกลและก่อให้เกิดความผิดพลาดร้ายแรงบนระบบ …

[Guest Post] Cybersecurity สำหรับธุรกิจขนาดเล็ก

ธุรกิจแบบไหนบ้างที่มีความเสี่ยงด้านความมั่นคงปลอดภัยบนโลกไซเบอร์ สำหรับเจ้าของธุรกิจขนาดเล็กแล้ว มีอุปสรรคมากมายที่ต้องเผชิญ รวมถึงความมั่นคงปลอดภัยของเทคโนโลยี เพราะทุกความเสี่ยงย่อมสร้างความเสียหายให้กับธุรกิจ และคำแนะนำส่วนมากก็มักเขียนสำหรับองค์กรใหญ่ๆ วันนี้เราจึงอยากพูดถึงความมั่นคงปลอดภัยไซเบอร์สำหรับธุรกิจขนาดเล็ก