Un certificat SSL de Paypal a fost publicat

Un certificat SSL fals ce ar putea permite unuio atacator sa insele utilizatorii IE, Safari sau Chrome de pe Windows, creand impresia unor pagini legitime PayPal au fost publicate.Aplicatia exploateaza un byte din sistemul CryptoAPI Microsoft, o vulnerabilitate ce a fost prezentata in timpul unei conferinte Black Hat,unde Moxie Marlinspike a demonstrat un POC prin insererea unui bit null in certificat.

In programare , acest caracter este folosit pentru a stabilit lungimea sirului de caractere iar bug-ul din Microsoft CryptoAPI, ce este folosit de browsere precum IE,Safari sau Chrome pentru a parsa certificatele SSL determina oprirea certificatului cand intalneste \0(caracterul null). Domnul Marlinspike a reusit sa obtina cateva certificate cu prefix nul, unul dintre acestea fiind : www.paypal.com\0ssl.secureconnection.cc.

In timpul sesiuni Black Hat ce avea ca subiect interceptarea mesajelor securizate, certificatul a fost dat participantilor pentru a demonstra conceptul, dar unul dintre acestea a lansat acel POC ieri. Asta inseamna ca oricine poate folosi de acum incolo o combinatie de SSLSniff , o aplicatie pentru atacuri de acest gen, pentru a intercepta traficul utilizatorilor Paypal carora le vor da pagini web ce vor parea a fi „legitime”.

Teoretic, sistemul de securitate bazate pe certificate are un sistem de protectie(OCSP), dar se pare ca acelasi Marlinspike a demonstrat si o metoda de a trimite mesaje OCSP false pentru a valida paginile, cu aceeasi aplicatie SSLSniff.

Este de mentionat si de laudat reactia foarte rapida asupra acestei vulnerabilitati de echipa de la Firefox, ce a rezolvat aceasta eroare in cateva zile de la conferinta Black Hat in versiunea Firefox 3.5.2 .Se poate observa de aici si interesul celor de Microsoft. 🙂