Certyfikaty SSL - o co w tym chodzi?
Po tym jak entuzjasta bezpieczeństwa odkrył lukę, która umożliwiła mu zarejestrowanie ważnego certyfikatu SSL dla domeny live.fi Microsoftu, próbował odpowiedzialnie ujawnić kwestia. Ale zamiast podziękowań zablokowano mu konta e-mailowe, telefoniczne, Xbox i online.
Problem został odkryty przez fińskiego mężczyznę, który pracuje jako menedżer IT w firmie z branży przemysłowej. Rozmawiał z IDG News Service, ale poprosił o anonimowość.
Usługa pocztowa Microsoft Outlook.com pozwala użytkownikom mieć wiele adresów e-mail zwanych aliasami pod jednym kontem. W tej chwili usługa umożliwia tworzenie aliasów tylko w domenie @ outlook.com, ale kilka miesięcy temu dostępnych było więcej domen.
[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]Około szóstej Kilka miesięcy temu fiński menadżer IT, który miał już adres @ live.fi i @ live.com, wpadł na pomysł, aby sprawdzić, czy mógł zarejestrować jakieś uprzywilejowane nazwy użytkownika jako swoje dodatkowe aliasy.
Nazwy użytkowników uprzywilejowanych, takie jak admin @, administrator @ , postmaster @, hostmaster @ i webmaster @ są zwykle zarezerwowane dla właścicieli nazw domen do celów administracyjnych, ale menedżerowi IT udało się zarejestrować [email protected], [email protected] i [email protected] jako swoje aliasy, ponieważ Microsoft ich nie zablokował.
Początkowo sądził, że może odbierać potencjalnie poufne wiadomości e-mail przeznaczone dla właściciela domeny, a następnie zgłosić problem, ale z upływem czasu nie pojawił się adres e-mail dla tych adresów. Następnie w styczniu wpadł na pomysł, aby spróbować uzyskać certyfikat SSL za pomocą jednego z adresów.
Wybrał urząd certyfikacji o nazwie Comodo, ponieważ firma oferuje bezpłatne certyfikaty, które są ważne przez 90 dni i ponieważ akceptuje własność domeny weryfikacja za pomocą adresów e-mail typu admin.
Według informatyka, uzyskał certyfikat późno 26 stycznia, a cały proces trwał około 10 minut, co spowodowało, że był on w pełni zautomatyzowany. Następnego dnia zgłosił tę kwestię do CERT-FI, który jest częścią Krajowego Centrum Cyber Security Finland.
Twierdzi także, że zgłosił problem na adres e-mail wymieniony jako kontakt dla domeny live.fi na styczeń. 31 i na adres [email protected] 24 lutego, ale nie otrzymał odpowiedzi z żadnego adresu. Warto zauważyć, że odpowiedni kontaktowy adres e-mail w firmie Microsoft do zgłaszania usterek to adres [email protected], a nie [email protected]. Jednak zgodnie z postem na blogu Microsoft z 2006 roku, powinna nastąpić automatyczna odpowiedź ze strony [email protected] z informacją o właściwym kontakcie.
Firma Microsoft wydała aktualizację w poniedziałek, aby umieścić na czarnej liście nieprawidłowo wydany certyfikat, ale nie przed zawieszeniem Konto menadżera IT z 12 marca zablokowało go nie tylko na jego e-mailu, ale także na OneDrive, Xbox Live, telefonie Lumia i innych usługach Microsoft. Microsoft w końcu odblokował swoje konto dzisiaj.
"Oczywiście, nie wszystkie decyzje, które podjąłem, były inteligentne, ale starałem się jak mogłem" - powiedział, odnosząc się do tego, w jaki sposób zajmował się śledztwem i raportowaniem problemu.
" Dzięki naszym własnym badaniom, niezależnym od badacza, zidentyfikowaliśmy i naprawiliśmy błędną konfigurację, która pozwalała ludziom tworzyć konta zarezerwowane dla użytku Microsoftu ", powiedział przedstawiciel firmy Microsoft za pośrednictwem poczty elektronicznej w środę.
Przedstawiciel Microsoft dodał, że jest" standardowym " praktyka "w zakresie wyłączania kont przez firmę w przypadkach, gdy może dojść do naruszenia warunków świadczenia usług przez Microsoft lub w przypadku zagrożenia bezpieczeństwa, oraz do wskazania posiadaczom konta, w jaki sposób odzyskać dostęp przy następnym logowaniu". W tym celu skontaktowaliśmy się z badaczem i współpracujemy z nim, aby przywrócić jego konto ", powiedział przedstawiciel.
Menedżer IT potwierdził po tym, jak Microsoft wysłał oświadczenie, że odzyskał dostęp do swojego konta.
Administracyjne adresy e-mail muszą być zarezerwowane od samego początku, aby nikt nie mógł ich używać złośliwie, powiedział Frans Rosén, współzałożyciel firmy ochroniarskiej Wykryj, przez e-mail. Niektórzy wydawcy certyfikatów ręcznie weryfikują własność domeny, ale takie adresy e-mail, wraz z wpisami w rekordach whois domeny, są często akceptowane do weryfikacji domyślnie, co utrudnia im porwanie.
Rosén wyraził zdziwienie, że Microsoft nie zdołał ochronić nazwy użytkowników, mówiąc, że jest to dość powszechnie znany problem dla usług, które pozwalają na generowanie przez użytkowników adresów e-mail.
Naukowcy z Detectify zbadali niedawno, w jaki sposób ofiary mogą wykorzystać nadużycie poddomeny, prawdopodobnie w celu uzyskania certyfikatów SSL, które mogą następnie zostać wykorzystane w ataki man-in-the-middle.
Menedżer IT otrzymuje certyfikat dla domeny Microsoft, próbuje go zgłosić, ale dostaje kłopoty
Próbował ostrzec firma w styczniu, ale firma nigdy nie otrzymała swoich e-maili, a później zawiesiła swoje konto Microsoft
W tym tygodniu w grach: Rainbow Six Siege dostaje bezpłatny weekend, Battlefield 4 dostaje darmowe mapy
Plus : Dostałeś swój AT-AT w moim Falloucie 4! To jest twoja wiadomość o grach na tydzień 14 - 18 grudnia.
Kolejny gen HTC Vive Pro dostaje cenę, a oryginalny Vive dostaje obniżkę o 100 $
Vive Pro wreszcie ma swoją cenę - ale tylko sam zestaw słuchawkowy - a HTC obniża cenę oryginalnego HTC Vive's.
