พบช่องโหว่ในมาตรฐานการแลกเปลี่ยน Certificate X.509 ทำให้แฝงข้อมูล C&C ลงไปได้

นักวิจัยจาก Fidelis Cybersecurity ได้พบช่องโหว่เพื่อแอบแฝงข้อมูลแบบใหม่โดยใช้กระบวนการมาตรฐานของ Public Key Certificate อย่าง X.509 แบบปกติเพื่อแอบแฝงข้อมูลการสื่อสารแบบ C&C ที่ใช้ควบคุมเครื่องเหยื่อหลังฝังตัวได้แล้ว โดยมาตรฐาน X.509 ถูกใช้ในโปรโตคอลการเข้ารหัสอย่าง TLS และ SSL 

credit : dwdonline.com

นักวิจัยกล่าวว่า Extension ของ X.509 สามารถใช้แฝงข้อมูลของคนร้ายเพื่อลัดผ่านการป้องกันของเครือข่ายที่ไม่มีการดูค่าภายใน Certificate แม้ว่ายังไม่มีรายงานการโจมตีจากช่องโหว่นี้เกิดขึ้นแต่ด้วยความที่มีการใช้งาน Certificate อย่างแพร่หลายในองค์กรต่างๆ จึงก่อให้เกิดความเสี่ยงเกิดขึ้นได้

นักวิจัยได้อธิบายถึงการวิเคราะห์ในเว็บของ Fidelis ไว้ว่า “X.509 มีหลาย Fields ของข้อมูลที่สามารถใส่ String ได้จำนวนมากซึ่งประกอบด้วย Serial Number, Issuer Name, Validity Period และอื่นๆ ทำให้สามารถแอบแฝงข้อมูลไปในหนึ่งใน Fields ข้อมูลเหล่านี้ได้ อีกทั้งขั้นตอนการแลกเปลี่ยน Certificate เกิดขึ้นก่อนสร้างเซสชัน TLS นั่นทำให้มันไม่มีข้อมูลที่ถูกส่งเลยเพราะข้อมูลที่ไม่ดีถูกส่งจบอยู่ภายในกระบวนแลกเปลี่ยน Certificate เอง” ในกรณีของการป้องกันตัวเองซึ่งขั้นตอน PoC นักวิจัยได้ทดสอบด้วย Certificate แบบ Self-signed และการบล็อก Self-signed Certificate นั้นช่วยได้อย่างมาก ส่วนอีกกรณีหนึ่งคือตรวจสอบหาสิ่งที่เป็นภัยภายใน Certificate

ที่มา : http://www.securityweek.com/tls-abusing-covert-data-channel-bypasses-network-defenses และ https://www.infosecurity-magazine.com/news/flaw-in-tlsssl-certificates-covert/ และ https://threatpost.com/covert-data-channel-in-tls-dodges-network-perimeter-protection/129779/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cyber Elite เปิดศูนย์ CSOC บริการเฝ้าระวังและรับมือภัยคุกคามไซเบอร์แบบครบวงจร

ในปัจจุบัน หลายองค์กรทั่วโลกต่างพลิกโฉมธุรกิจของตนสู่การเป็นธุรกิจดิจิทัลมากขึ้น สินค้าและบริการต่างถูกนำเสนอในรูปแบบออนไลน์ ผ่านอินเทอร์เน็ต และแอปพลิเคชันบนสมาร์ตโฟนเป็นจำนวนมาก เหล่านี้ก่อให้เกิดช่องทางที่อาชญากรไซเบอร์จะใช้โจมตีระบบขององค์กรได้มากขึ้น การรับมือกับภัยคุกคามไซเบอร์ในสมัยก่อนที่รอให้เกิดเหตุก่อนแล้วค่อยจัดการเป็นกรณีๆ ไป ไม่สามารถใช้ได้กับภัยคุกคามปัจจุบันที่มีความซับซ้อนและรุนแรง ซึ่งอาจทำให้ธุรกิจหยุดชะงักได้ทันทีหรือเสี่ยงถูกลูกค้าฟ้องร้องได้อีกต่อไป

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission