Nuevos certificados fraudulentos para google.com y otros dominios

Se ha detectado otro certificado fraudulento que pretende legitimar

páginas falsas de google.com (aunque podría hacerlo de otras). Una
entidad de confianza ha firmado un certificado falso, lo que permite
que se suplanten las páginas del buscador o que el tráfico cifrado
en realidad sea visto por un tercero.

Lo que ha ocurrido (otra vez) es que se ha firmado un certificado falso
para dominios de Google con certificados intermedios emitidos por la
empresa turca TurkTrust. Al parecer, en agosto de 2011, TurkTrust emitió
y facilitó a un tercero dos certificados intermedios, en vez de los
finales. Esto permitió a los receptores firmar certificados para
cualquier dominio, circunstancia que parece que han aprovechado para
firmar uno de *.google.com entre otros. Si de alguna forma, el atacante
consigue redirigir a la víctima a otro servidor envenenando sus DNS o
con cualquier otro método, llegará a un servidor falso que el navegador
mostrará válido por SSL.

Esta es prácticamente la misma situación que ocurrió con Comodo y
Diginotar en 2011.

En esta ocasión han sido tres los certificados revocados. Dos destinados
a firmar, y uno final destinado a suplantar los dominios. Si nos fijamos
en los certificados revocados en el sistema, ya son dos los destinados a
suplantar a Google (uno revocado en marzo de 2011 y otro ahora). Parece
que cuando un atacante tiene la posibilidad de firmar dominios
populares, se decanta por el buscador.

cert1.png

Lo curioso de este último certificado es su lista de Subject Alternative
Names (o “nombre alternativo del titular”). Este es un campo del
estándar X.509 que, aunque disponible desde 1999 no es excesivamente
común. Los SAN permiten que los certificados sean válidos para varios
dominios. Algo parecido a los comodines o “wildcards” pero que va más
allá haciendo que un solo certificado sea válido para dominios
totalmente diferentes. Así, el navegador, cuando valida un certificado
contra un dominio se fija en el CN (common name) del certificado, en si
valida con un comodín (“wilcard”) y por último si valida en su lista de
SAN.

En este certificado, observamos que se ha creado con el fin de ser
válido para toda esta lista:

cert2.png

*.google.com, *.android.com, *.appengine.google.com, *.cloud.google.com,
*.google-analytics.com, *.google.ca
*.google.cl, *.google.co.in, *.google.co.jp, *.google.co.uk,
*.google.com.ar, *.google.com.au, *.google.com.br, *.google.com.co,
*.google.com.mx, *.google.com.tr, *.google.com.vn, *.google.de,
*.google.es, *.google.fr, *.google.hu, *.google.it, *.google.nl,
*.google.pl, *.google.pt, *.googleapis.cn, *.googlecommerce.com,
*.gstatic.com, *.urchin.com, *.url.google.com, *.youtube-nocookie.com,
*.youtube.com, *.ytimg.com, android.com, g.co, goo.gl,
google-analytics.com, google.com, googlecommerce.com, urchin.com,
youtu.be, youtube.com

Y después ha sido firmado con el certificado de TurkTrust para darle
validez.

Microsoft ha publicado la actualización correspondiente para la
revocación de certificados en toda la familia Windows, mediante el KB
2798897 disponible a través de Windows Update o los canales oficiales de
descarga. El resto de navegadores han actualizado sus listas de
revocación para bloquear los certificados.
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.