近日谷歌Zero項(xiàng)目研究人員Tavis Ormandy報(bào)告了兩個(gè)嚴(yán)重漏洞,其中包括卡巴斯基實(shí)驗(yàn)室主流防病毒產(chǎn)品中的SSL證書驗(yàn)證漏洞。
根據(jù)該漏洞報(bào)告指出,Ormandy在11月向卡巴斯基報(bào)告了這些漏洞,而卡巴斯基在12月28日發(fā)布了修復(fù)程序,盡管該漏洞的公布“因節(jié)假日而略有延誤”。
這兩個(gè)漏洞被Zero項(xiàng)目評為嚴(yán)重,而這兩者中更為嚴(yán)重的是SSL證書驗(yàn)證漏洞,該漏洞允許攻擊者通過暴力破解有效證書和惡意證書之間的碰撞輕松地執(zhí)行中間人攻擊。
這個(gè)問題之所以出現(xiàn)是因?yàn)椋嚎ò退够ㄟ^從每個(gè)證書的MD5哈希的前32位生成密鑰來追蹤本地系統(tǒng)中有效SSL和傳輸層安全證書。這讓攻擊者可使用惡意證書替換有效證書來破壞SSL證書驗(yàn)證,因?yàn)楣粽呖蓪阂庾C書哈希的前32位匹配有效證書。
例如,攻擊者首先可發(fā)送mail.google.com的真實(shí)證書來攔截受害者與谷歌郵件服務(wù)之間的所有流量??ò退够绦驎?zhí)行SSL證書驗(yàn)證,然后從真實(shí)證書的MD5哈希創(chuàng)建自己的32位密鑰。在下一次連接到mail.google.com時(shí),攻擊者可發(fā)送攻擊者網(wǎng)站的證書,其證書會生成與有效證書相同的32位MD5哈希。如果攻擊者將域名系統(tǒng)請求從formail.google.com重定向到攻擊者網(wǎng)站,卡巴斯基會開始使用其緩存證書,而攻擊者已經(jīng)完全控制mail.google.com。
Ormandy寫道:“出于興趣,我搜索了某些碰撞的Certificate Transparency日志。”從Hacker News網(wǎng)站的證書開始,Ormandy發(fā)現(xiàn)與曼徹斯特政府網(wǎng)站的重要碰撞。“你可以訪問https://autodiscover.manchesterct.gov重現(xiàn)該漏洞,然后訪問https://news.ycombinator.com來查看錯(cuò)誤證書簽名的內(nèi)容。”
“如果你在曼徹斯特使用卡巴斯基防病毒軟件,并且想知道為什么Hacker News有時(shí)候不起作用,”Ormandy稱,“這是因?yàn)橛袀€(gè)關(guān)鍵漏洞已經(jīng)有效禁用全部4億卡巴斯基用戶的SSL證書驗(yàn)證。”
第二個(gè)漏洞的嚴(yán)重等級為高級別,它涉及卡巴斯基軟件內(nèi)證書頒發(fā)機(jī)構(gòu)根證書的安全問題。這個(gè)漏洞允許非特權(quán)用戶在目標(biāo)系統(tǒng)作為可信政府頒發(fā)機(jī)構(gòu)。
這并不是Ormandy和谷歌Zero項(xiàng)目第一次發(fā)現(xiàn)主流防病毒軟件中出乎意料的嚴(yán)重漏洞。去年五月,Zero項(xiàng)目就報(bào)告稱賽門鐵克防病毒產(chǎn)品容易受到內(nèi)核內(nèi)存損壞攻擊,這還不需要用戶交互。
去年九月,Zero項(xiàng)目報(bào)告了賽門鐵克防病毒軟件中更嚴(yán)重的漏洞,該漏洞與使用未修復(fù)開源代碼相關(guān)。卡巴斯基防病毒軟件在2015年也曾得到Zero項(xiàng)目的關(guān)注,因?yàn)槠渲邪趦?nèi)存損壞有關(guān)的漏洞,這些漏洞當(dāng)解析使用不同格式的特制惡意文件時(shí)會導(dǎo)致內(nèi)存損壞。