SSL.com a mal éduqué les certificats SSL en interprétant à tort les adresses e-mail soumises pour vérification, permettant aux attaquants de potentiellement usurper les marques et d’effectuer un vol de données.
Une faille dans le processus de validation de validation de contrôle du domaine (DCV) de SSL.com a permis aux attaquants de contourner la vérification et d’émettre des certificats SSL frauduleux pour tout domaine lié à certains fournisseurs de messagerie.
Selon un exploit démontré par un chercheur en sécurité allant par le journaliste ALIAS SEC, les attaquants pourraient abuser de l’interprétation erronée par SSL.com des méthodes de validation par e-mail.
« SSL.com n’a pas réussi à effectuer un contrôle précis de validation du domaine lors de l’utilisation de la méthode BR 3.2.2.4.14 DCV (e-mail au contact DNS TXT) », a déclaré le journaliste SEC dans un post Bugzilla. « Il marque à tort le nom d’hôte de l’adresse e-mail de l’approbateur en tant que domaine vérifié, qui est complètement erroné. »
SSL.com est une autorité de certificat largement fiable (CA) qui émet des certificats SSL / TLS – des informations d’identification numériques qui sécurisent les données transmises entre les sites Web et les utilisateurs. Un CA n’ayant pas vérifié correctement à qui possède un domaine pourrait permettre la délivrance de faux certificats, conduisant à une usurpation d’identité du domaine, au vol de données, à l’homme au milieu et aux attaques de phishing.
Ssl.com malvalide les adresses e-mail aléatoires
SSL.com a une fonctionnalité où l’on peut prouver qu’ils contrôlent un domaine et obtiennent un certificat TLS (SSL) en créant un enregistrement DNS TXT spécial – une adresse e-mail pour SSL.com pour envoyer un code de confirmation.
En théorie, seul quelqu’un qui contrôle le domaine (comme xyz@example.com) devrait être en mesure de créer cet enregistrement et de recevoir l’e-mail de vérification. Cependant, en réalité, SSL.com faisait confiance à tort à la partie du domaine de l’adresse e-mail (Example.com).
Cela a permis à la SEC Reporter d’entrer admin@aliyun.com comme enregistrement, et SSL.com a supposé qu’ils contrôlaient Aliyun.com (un service de la carte Web géré par Alibaba), validant leurs certificats pour aliyun.com et www.aliyun.com.
Cela est particulièrement dangereux car un attaquant n’a pas besoin d’avoir un contrôle complet sur un site Web, par exemple Google.com, pour obtenir un certificat légitime, car la simple adresse e-mail d’un employé ou même une adresse e-mail gratuite qui est en quelque sorte liée au domaine est suffisante.
Les certificats mal émis ont été révoqués
La manifestation par le journaliste de la SEC a été reconnue par SSL.com, et le problème a été rapidement résolu.
« SSL.com reconnaît ce rapport de bogues et nous enquêtons davantage », a commenté Rebecca Kelly, chef de projet technique chez SSL.com, a commenté la démonstration, suivant rapidement avec: «Par une abondance de prudence, nous avons la méthode de validation du domaine désactivé 3.2.2.4.14 qui a été utilisé dans le rapport de bogue pour tous les certificats SSL / TLS pendant que nous enquêtons.»
Dans un rapport d’incident préliminaire joint dans la section des commentaires de la manifestation, il a été révélé qu’un total de 10 certificats ont été mal émis par SSL.com en utilisant la méthode défectueuse et ont donc été révoqués. Ces certificats incorrectement délivrés, à l’exception de l’un, se sont révélés être une mauvaise crise non frauduleuse lors de l’enquête, a ajouté Kelly.
