Proof-of-concept-kode smugler data via felt i nøgle-certifikat

Ondsindede data kan sendes i det skjulte via et X.509-certifikat.

Sikkerhedsmanden Jason Reaves fra Fidelis Cybersecurity har løftet sløret for, hvordan data kan sendes i det skjulte via et X.509-certifikat. Det oplyser The Register.

Fidusen kan i princippet udnyttes til at sende data ind og ud af et netværk i det skjulte.

X.509 er en standard for certifikater til offentlige nøgler. Og X.509 danner grundlaget for en stor del af verdens krypterede trafik, blandt andet certifikaterne, som bliver sendt i starten af en TLS-session.

Reaves forklarede om teknikken tilbage i juli 2017 på Bsides-konferencen, og nu har han frigivet en proof-of-concept-kode (PoC). Den ligger her.

Der er mange felter i X.509-certifikater. Feltet som Reaves udnytter i sit PoC er:

class=wrap_text>SubjectKeyIdentifier

Det er som sådan kun hukommelsen på systemet, der begrænser mængden af data, der kan transmitteres via feltet, oplyser Reaves i en rapport om teknikken.

I Proof-of-Concept-koden bliver hacker/pentester-programmet Mimikatz sendt via feltet. Det skal simulerer en situation, hvor programmet bliver sendt ind på et kompromitteret netværk.

Reaves påpeger, at proof-of-concept-koden anvender et selvsigneret certifikat, og at en måde at dæmme op for problemstillingen på, derfor kan være helt at blokere for denne type certifikater.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere