研究人员通过钓鱼方式欺骗赛门铁克吊销合法证书
谷歌研究人员近期仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题。不过在这个时候却有其他安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时并未按照规定操作。
该研究人员注册新域名后向赛门铁克和科莫多申请证书,在此过程中两家公司都给签发了数字证书。紧接着这名研究人员伪造对应证书的伪造私钥上传 Pastebin 网站,然后开始向赛门铁克和科莫多申请撤销证书。
正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。因此赛门铁克在收到这名研究人员的申请后立刻吊销证书,而科莫多在收到申请后却没有将对应证书吊销。但别忘了本身研究人员发给赛门铁克的就是伪造私钥, 赛门铁克直接吊销了证书说明该公司并没有去验证私钥。
按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。但是赛门铁克在未经验证的情况下直接将证书吊销, 这个操作不但不符合要求而且还可能造成极大的危害。例如研究人员直接伪造私钥后向赛门铁克申请吊销搜狗的证书, 赛门铁克就会直接吊销。随后,大家在访问搜狗时就会直接出现拦截提醒, 因为搜狗证书已被作废并不再被任何浏览器信任。
当然如果真的去申请吊销大公司的证书不大可能实现, 但是如果去申请吊销中小网站的搞不好就真的会成功。谷歌和 Mozilla 要求赛门铁克改善基础设施提高安全,同时谷歌也提出需要对赛门铁克执行惩罚性措施。目前,惩罚性措施主要包括缩短赛门铁克签发证书的有效期, 同时还包括暂停信任赛门铁克的 EV 扩展验证证书。
稿源:蓝点网,封面源自 ***
“研究人员通过钓鱼方式欺骗赛门铁克吊销合法证书” 的相关文章
NVIDIA 拒绝支付赎金后 威胁者利用代码签署恶意软件 可在 Windows 中加载
利用窃取过来的 NVIDIA 代码,威胁者利用签名证书来签署恶意软件,使其看起来值得信赖,并允许在 Windows 中加载恶意驱动程序。本周,NVIDIA 公司证实,他们遭受了一次网络攻击,使威胁者得以窃取员工的证书和专有数据。 对本次泄露事件负责的勒索集团 Lapsus$ 表示,他们已经窃取了...
Microsoft Defender 又一次误将 Google Chrome 更新视作可疑活动
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
美政府提醒区块链行业警惕 Lazarus Group 加密货币木马应用程序
在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...
YouTube上的 Valorant 骗局:RedLine 感染
Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创...
跑分软件 UserBenchmark 被 23 款安全软件误标记为“恶意软件”
反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内...
新的跨平台 “SysJoker” 后门同时影响 macOS、Windows、Linux
据报道,新的”SysJoker”后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。 这一发现是...
评论列表
发表评论
