При обмене сертификатами X.509 можно скрытно передать информацию

При обмене сертификатами X.509 можно скрытно передать информацию

Исследователь в области безопасности опубликовал код, демонстрирующий, что обмен сертификатами X.509 может скрытно передать информацию. Джейсон Ривс из Fidelis Cybersecurity раскрыл скрытый вектор, который использует поля в расширениях X.509 для переноса данных.

X.509 представляет собой стандарт для инфраструктуры открытого ключа и инфраструктуры управления привилегиями. X.509 определяет стандартные форматы данных и процедуры распределения открытых ключей с помощью соответствующих сертификатов с цифровыми подписями.

Как объясняет Ривс, злоумышленник может скрытно получить данные компании по пути X.509. TLS использует X.509 для обмена сертификатами в процессе handshake, который устанавливает зашифрованное соединение.

«Проще говоря, сертификаты TLS X.509 имеют много полей, где могут быть сохранены строки. Поля включают версию, серийный номер, название выпустившего сертификат органа, срок действия и тому подобное. Описанное в нашем исследовании злоупотребление сертификатами использует этот факт, чтобы скрыть передачу данных в одном из этих полей», — объясняют в Fidelis.

Основное эксплуатируемое экспертов поле — class=wrap_text>SubjectKeyIdentifier, в то время как «большинство библиотек» пытаются ограничить размер пакета во время handshake, «расширение в самом сертификате может быть длины, ограничиваемой только размером памяти».

Код proof-of-concept, по словам исследователя, использует самоподписанные сертификаты. Для противодействия таким атакам надо блокировать их, уточняет эксперт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Раскрыты детали RCE-уязвимости в Apache OpenOffice, патч пока не готов

В программном пакете Apache OpenOffice выявлена уязвимость, позволяющая удаленно выполнить вредоносный код в обход системных средств защиты. Исходные коды уже исправили, но обновление пока доступно только в виде тестовых сборок.

Набор офисных программ с открытым исходным кодом от Apache Software Foundation очень популярен. Согласно статистике на сайте проекта, на его счету числится более 310 загрузок. Последний раз он обновлялся в мае этого года.

По словам автора опасной находки, уязвимость CVE-2021-33035 связана с ошибкой переполнения буфера, которая может возникнуть при обработке файлов в формате .dbf. Используя этот недочет, Юджин Лим (Eugene Lim) добился отказа приложения OpenOffice Calc, а затем обнаружил, что эксплойт также позволяет обойти такую защиту Windows, как DEP и ASLR, и выполнить любую команду в системе.

О новой неприятности исследователь сообщил участникам Apache-проекта в начале мая. По обоюдному согласию срок публикации был установлен как 30 августа, однако работа над патчем затянулась, и Лим решил обнародовать свое открытие.

Разработчики надеются выпустить обновление для Windows-версии пакета до конца сентября. Те, кто не хочет ждать, могут воспользоваться тестовым вариантом (4.1.11). С изменениями в коде можно ознакомиться, заглянув в репозиторий OpenOffice на GitHub.

Напомним, в этом году в Apache OpenOffice объявилась еще одна RCE-уязвимость — CVE-2021-30245. Патч для нее был включен в состав майского обновления 4.1.10.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru