พบช่องโหว่ในมาตรฐานการแลกเปลี่ยน Certificate X.509 ทำให้แฝงข้อมูล C&C ลงไปได้

นักวิจัยจาก Fidelis Cybersecurity ได้พบช่องโหว่เพื่อแอบแฝงข้อมูลแบบใหม่โดยใช้กระบวนการมาตรฐานของ Public Key Certificate อย่าง X.509 แบบปกติเพื่อแอบแฝงข้อมูลการสื่อสารแบบ C&C ที่ใช้ควบคุมเครื่องเหยื่อหลังฝังตัวได้แล้ว โดยมาตรฐาน X.509 ถูกใช้ในโปรโตคอลการเข้ารหัสอย่าง TLS และ SSL 

credit : dwdonline.com

นักวิจัยกล่าวว่า Extension ของ X.509 สามารถใช้แฝงข้อมูลของคนร้ายเพื่อลัดผ่านการป้องกันของเครือข่ายที่ไม่มีการดูค่าภายใน Certificate แม้ว่ายังไม่มีรายงานการโจมตีจากช่องโหว่นี้เกิดขึ้นแต่ด้วยความที่มีการใช้งาน Certificate อย่างแพร่หลายในองค์กรต่างๆ จึงก่อให้เกิดความเสี่ยงเกิดขึ้นได้

นักวิจัยได้อธิบายถึงการวิเคราะห์ในเว็บของ Fidelis ไว้ว่า “X.509 มีหลาย Fields ของข้อมูลที่สามารถใส่ String ได้จำนวนมากซึ่งประกอบด้วย Serial Number, Issuer Name, Validity Period และอื่นๆ ทำให้สามารถแอบแฝงข้อมูลไปในหนึ่งใน Fields ข้อมูลเหล่านี้ได้ อีกทั้งขั้นตอนการแลกเปลี่ยน Certificate เกิดขึ้นก่อนสร้างเซสชัน TLS นั่นทำให้มันไม่มีข้อมูลที่ถูกส่งเลยเพราะข้อมูลที่ไม่ดีถูกส่งจบอยู่ภายในกระบวนแลกเปลี่ยน Certificate เอง” ในกรณีของการป้องกันตัวเองซึ่งขั้นตอน PoC นักวิจัยได้ทดสอบด้วย Certificate แบบ Self-signed และการบล็อก Self-signed Certificate นั้นช่วยได้อย่างมาก ส่วนอีกกรณีหนึ่งคือตรวจสอบหาสิ่งที่เป็นภัยภายใน Certificate

ที่มา : http://www.securityweek.com/tls-abusing-covert-data-channel-bypasses-network-defenses และ https://www.infosecurity-magazine.com/news/flaw-in-tlsssl-certificates-covert/ และ https://threatpost.com/covert-data-channel-in-tls-dodges-network-perimeter-protection/129779/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …