Um investigador de seguraça, que no ano passado demonstrou que as trocas de certificados X.509 poderiam transportar tráfego malicioso publicou agora uma prova de conceito .
Jason Reaves, da Fidelis Cybersecurity, divulgou um canal secreto que usa campos em extensões X.509 para transportar dados.
O padrão X.509 define as características dos certificados de chave pública de grande parte da infra-estrutura de chave pública do mundo; por exemplo, define os certificados trocados no início de uma sessão TLS. O TLS usa X.509 para troca de certificados, durante o processo de handshake que configura uma comunicação cifrada.
O paper do investigador diz:
In brief, TLS X.509 certificates have many fields where strings can be stored … The fields include version, serial number, Issuer Name, validity period and so on. The certificate abuse described in our research takes advantage of this fact to hide data transfer inside one of these fields. Since the certificate exchange happens before the TLS session is established there appears to never be data transfer, when in reality the data was transferred within the certificate exchange itself.
The particular field Reaves’ proof-of-concept abused is called class=wrap_text>SubjectKeyIdentifier and while “most libraries” try to cap the packet size during the handshake, “the extension in the certificate itself can be created to a length that appears to only be limited by memory.”
Ele deveria ser difícil de detetar, disse Reaves na sua apresentação: “Como pode ser detetado? Você tem de analisar todos os dados dentro do X.509, e há muitos dados … “, disse ele.
Na sua prova de conceito, Fidelis transferiu o Mimikatz na negociação TLS, simulando assim um atacante a forçar o direcionamento da ferramenta para uma rede comprometida:
Reaves disse ainda que a prova de conceito usava certificados auto-assinados. Bloquear os certificados poderia ser uma maneira de “combater” qualquer ataque desta linha — disse Reaves.