谷歌Zero研究人员揭卡巴斯基防病毒软件中存SSL证书验证漏洞

日期:2017-1-11作者:Peter Loshin翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

近日谷歌Zero项目研究人员Tavis Ormandy报告了两个严重漏洞,其中包括卡巴斯基实验室主流防病毒产品中的SSL证书验证漏洞。

根据该漏洞报告指出,Ormandy在11月向卡巴斯基报告了这些漏洞,而卡巴斯基在12月28日发布了修复程序,尽管该漏洞的公布“因节假日而略有延误”。

这两个漏洞被Zero项目评为严重,而这两者中更为严重的是SSL证书验证漏洞,该漏洞允许攻击者通过暴力破解有效证书和恶意证书之间的碰撞轻松地执行中间人攻击。

这个问题之所以出现是因为:卡巴斯基通过从每个证书的MD5哈希的前32位生成密钥来追踪本地系统中有效SSL和传输层安全证书。这让攻击者可使用恶意证书替换有效证书来破坏SSL证书验证,因为攻击者可将恶意证书哈希的前32位匹配有效证书。

例如,攻击者首先可发送mail.google.com的真实证书来拦截受害者与谷歌邮件服务之间的所有流量。卡巴斯基程序会执行SSL证书验证,然后从真实证书的MD5哈希创建自己的32位密钥。在下一次连接到mail.google.com时,攻击者可发送攻击者网站的证书,其证书会生成与有效证书相同的32位MD5哈希。如果攻击者将域名系统请求从formail.google.com重定向到攻击者网站,卡巴斯基会开始使用其缓存证书,而攻击者已经完全控制mail.google.com。

Ormandy写道:“出于兴趣,我搜索了某些碰撞的Certificate Transparency日志。”从Hacker News网站的证书开始,Ormandy发现与曼彻斯特政府网站的重要碰撞。“你可以访问https://autodiscover.manchesterct.gov重现该漏洞,然后访问https://news.ycombinator.com来查看错误证书签名的内容。”

“如果你在曼彻斯特使用卡巴斯基防病毒软件,并且想知道为什么Hacker News有时候不起作用,”Ormandy称,“这是因为有个关键漏洞已经有效禁用全部4亿卡巴斯基用户的SSL证书验证。”

第二个漏洞的严重等级为高级别,它涉及卡巴斯基软件内证书颁发机构根证书的安全问题。这个漏洞允许非特权用户在目标系统作为可信政府颁发机构。

这并不是Ormandy和谷歌Zero项目第一次发现主流防病毒软件中出乎意料的严重漏洞。去年五月,Zero项目就报告称赛门铁克防病毒产品容易受到内核内存损坏攻击,这还不需要用户交互。

去年九月,Zero项目报告了赛门铁克防病毒软件中更严重的漏洞,该漏洞与使用未修复开源代码相关。卡巴斯基防病毒软件在2015年也曾得到Zero项目的关注,因为其中包含于内存损坏有关的漏洞,这些漏洞当解析使用不同格式的特制恶意文件时会导致内存损坏。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Peter Loshin
Peter Loshin

网站编辑

病毒/蠕虫/恶意软件>更多

  • 是否应对勒索软件攻击进行通告?

    网络安全专家建议不要支付勒索软件攻击赎金。但实际上,考虑到资产的关键性,企业往往不得不进行支付。那么当企业决定支付勒索软件攻击赎金时,是否应该告知公众?

  • 降低勒索软件攻击风险,企业可采取哪些措施?

    预防是先苦后甜的做法,前期费工夫以后会少了诸多麻烦。如果前期预防工作都没做到位,等真正遭攻击时再懊悔也来不及了,毕竟攻击者不是慈善家,而世上亦没有后悔药。

  • 关于勒索软件防御,你需要知道的几个事实

    对于攻击者来讲,勒索软件是非常盈利的一块市场。而对于受害者,即使是不支付赎金,代价也十分高昂,因为要面临很多间接成本,例如停机和系统恢复、事件分析和响应以及审计等……

  • 企业正在从与勒索软件的战争中走向失败?

    在扩大感染范围的同时,勒索软件攻击者对赎金的攫取欲望更加强烈,其使用的加密方法更加复杂,手段更加激进,甚至为了逼迫受害者就范,制定严格的付款截止日期,不然就销毁受害者的数据……

相关推荐

技术手册>更多

  • Web应用防火墙

    Web应用防火墙检查应用层的信息以发现违反安全策略的行为,警惕可能的入侵。它们正逐渐成为关键的数据保护和法规遵从工具,任何安全的决策者都应该了解它。本技术手册为您提供一份关于Web应用防火墙的综合指南。我们将为您提供评价标准,部署考虑以及管理问题方面的建议。

  • 渗透测试指南(更新版)

    渗透测试(penetration test)是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • 企业风险安全管理

    企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方……</P

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算