Você já imaginou um hacker conseguir certificados SSL para domínios de grandes empresas, como a Alibaba Cloud, sem autorização? Parece ficção científica, mas aconteceu! Uma falha de segurança na SSL.com permitiu que isso ocorresse, e vamos desvendar como esse “bug hunter” fez isso em apenas cinco passos.
A Falha no Sistema de Validação de Domínio
A SSL.com, empresa que emite certificados SSL, apresentava uma vulnerabilidade em seu sistema de verificação de domínio. Essa falha permitia que indivíduos mal-intencionados obtivessem certificados digitais para sites legítimos sem a devida autorização. Com esses certificados em mãos, eles poderiam criar cópias maliciosas desses sites para roubar senhas ou interceptar tráfego HTTPS.
Como a Falha Funcionava
Para verificar a posse de um domínio e emitir um certificado SSL, a SSL.com oferece a opção de criar um registro DNS TXT _validation-contactemail, com o valor definido como um endereço de e-mail de contato. Após a criação desse registro, um código e um URL são enviados para o endereço de e-mail. Ao acessar o link e inserir o código, o proprietário do domínio comprova sua posse e recebe o certificado.
O problema era que a SSL.com, devido a uma falha de implementação, considerava o domínio do endereço de e-mail como verificado também. Se você usasse “vulture@exemplo.com”, e tivesse acesso às mensagens desse endereço, a empresa emitiria um certificado para exemplo.com, independentemente do domínio que você queria verificar.
Os Passos do “Bug Hunter”
Um pesquisador de segurança, conhecido como “Sec Reporter”, descobriu essa falha e demonstrou como explorá-la. Ele seguiu estes passos:
- Utilizou uma ferramenta online para criar um registro TXT específico.
- Criou um registro TXT com um email de um provedor de email e cloud famoso, como “@aliyun.com”.
- Solicitou um certificado SSL na SSL.com para um domínio teste, utilizando o endereço de email com o domínio conhecido.
- Acessou sua conta de email e validou o domínio através do link e código recebido.
- A SSL.com, erroneamente, considerou o domínio do email como pertencente ao solicitante e emitiu o certificado.
Com isso, ele conseguiu obter certificados para domínios de um gigante da internet Chinesa, sem ter qualquer autorização.
Consequências e Ações da SSL.com
Essa falha representava uma grave ameaça. Qualquer pessoa que conhecesse a vulnerabilidade poderia solicitar e receber certificados SSL para sites alheios, permitindo ataques de “man-in-the-middle”, phishing, e outras ações maliciosas.
Após a descoberta, a SSL.com revogou 11 certificados emitidos incorretamente, incluindo um para aliyun.com. A empresa agradeceu ao pesquisador e afirmou estar tratando o incidente com a máxima prioridade, desabilitando o processo de validação com falha e prometendo um relatório completo.
Conclusão
Este caso demonstra a importância da segurança em todos os níveis da infraestrutura da internet. Falhas, por menores que pareçam, podem ter consequências sérias. A transparência da SSL.com ao corrigir a falha e agradecer ao pesquisador mostra uma postura importante para a segurança online. Precisamos estar sempre atentos às vulnerabilidades e trabalhar pela melhoria contínua dos sistemas de segurança.
Compartilhe suas experiências e reflexões sobre segurança online!
Fonte: Theregister
