Beveiligingsoverzicht van november 2019

De Security Roundup van november bevat TPM-FAIL, Delegated Credentials voor TLS, inbreuken op domeinregistreerders en het tekort aan IPv4-adressen.

gerelateerde inhoud

Wil je blijven leren?

Abonneer u op de nieuwsbrief van SSL.com, blijf op de hoogte en veilig.

Welkom bij de editie van november 2019 van SSL.com's Security Roundup, waar we een selectie van de ontwikkelingen van de maand in SSL /TLS, digitale certificaten en netwerkbeveiliging! In deze editie behandelen we:

TPM-FOUT

Sirgiu Gatlan bij Bleeping Computer meldt dat een onderzoeksteam van het Worcester Polytechnic Institute, de University of Lübeck en de University of California, San Diego twee kwetsbaarheden heeft ontdekt in op Intel firmware gebaseerde TPM (fTPM) en STMicroelectronics 'TPM (Trusted Platform Module) -chips.

Deze kwetsbaarheden, nagesynchroniseerd TPM-FOUT door de onderzoekers, laten aanvallers toe om opgeslagen privé-cryptografische sleutels te herstellen. Op de Website van TPM-FAILstellen de onderzoekers dat:

We ontdekten timinglekken op Intel-firmware-gebaseerde TPM (fTPM) en in de TPM-chip van STMicroelectronics. Beide vertonen geheimafhankelijke uitvoeringstijden tijdens het genereren van cryptografische handtekeningen. Hoewel de sleutel veilig in de TPM-hardware moet blijven, laten we zien hoe een aanvaller met deze informatie 256-bits privésleutels kan herstellen van schema's voor digitale handtekeningen op basis van elliptische krommen.

De aangetoonde aanvallen zijn praktisch, zoals de onderzoekers ook beweren

Een lokale tegenstander kan de ECDSA-sleutel binnen 4-20 minuten herstellen van Intel fTPM, afhankelijk van het toegangsniveau. We laten zelfs zien dat deze aanvallen op afstand kunnen worden uitgevoerd op snelle netwerken, door de authenticatiesleutel van een virtual private network (VPN) -server binnen 5 uur te herstellen.

Gatlan merkt op dat "De kwetsbare Intel fTPM ... wordt gebruikt door de overgrote meerderheid van computerfabrikanten, inclusief maar niet beperkt tot Dell, HP en Lenovo", en "ook veel wordt gebruikt door Intel Internet of Things (IoT) -platform productfamilie die wordt gebruikt in de industrie, de gezondheidszorg, slimme steden en geconnecteerde voertuigen. "

Intel heeft een stuk aan hun fTPM-firmware om de TPM-FAIL-kwetsbaarheden op te lossen, en STMicroelectronics heeft een TPM-FAIL-resistente TPM-chip uitgegeven.

De afhaalmaaltijd van SSL.com: Iedereen met uw privésleutels kan uw identiteit stelen. Het is zeer waarschijnlijk dat u in het bezit bent van ten minste één apparaat dat door deze kwetsbaarheden wordt getroffen - neem contact op met de fabrikant van uw apparaat voor firmware-upgrades.

Gedelegeerde referenties voor TLS

Op 1 november, Cloudflare aangekondigd ondersteuning voor gedelegeerde referenties voor TLS, een nieuw cryptografisch protocol ontwikkeld in samenwerking met Facebook en Mozilla. Gedelegeerde inloggegevens zijn bedoeld om SSL /TLS implementatie op meerdere wereldwijde eindpunten, zoals in een Content Delivery Network (CDN). Volgens Cloudflare is een gedelegeerde referentie:

een kortdurende sleutel die de eigenaar van het certificaat heeft gedelegeerd voor gebruik in TLS. Ze werken als een volmacht: uw server geeft onze server toestemming om te beëindigen TLS voor een beperkte tijd. Wanneer een browser die dit protocol ondersteunt verbinding maakt met onze edge-servers, kunnen we deze deze "volmacht" laten zien, in plaats van dat we contact moeten opnemen met de server van een klant om hem toestemming te geven om de TLS verbinding. Dit vermindert de latentie en verbetert de prestaties en betrouwbaarheid.

Omdat gedelegeerde inloggegevens periodiek naar de Edge-servers van het CDN worden gepusht voordat de vorige inloggegevens verlopen, vermijdt het systeem de latentie die gepaard gaat met op pull gebaseerde protocollen zoals Sleutelloze SSL. U kunt de aankondigingen van Facebook en Mozilla over gedelegeerde inloggegevens lezen hier en hieren krijg volledige details van de IETF draft van de specificatie.

De afhaalmaaltijd van SSL.com: We zijn geïnteresseerd in elke ontwikkeling die de veilige en efficiënte wereldwijde implementatie van SSL /TLSen zullen deze technologie nauwlettend in de gaten houden terwijl deze zich ontwikkelt.

IPv4-adressen raken op

RIPE (Europa's regionale internetregister) aangekondigd op 25 november dat ze geen IPv4-adressen meer over hebben

we hebben onze definitieve / 22 IPv4-toewijzing gemaakt van de laatst overgebleven adressen in onze beschikbare pool. We hebben nu geen IPv4-adressen meer.

RIPE zegt dat, hoewel ze geen IPv4-adressen meer hebben, ze in de toekomst meer zullen herstellen "van organisaties die failliet zijn gegaan of gesloten zijn, of van netwerken die adressen retourneren die ze niet langer nodig hebben" en ze zullen uitdelen naar Lokale internetregisters (LIR's) via een wachtlijst.

De afhaalmaaltijd van SSL.com: IPv6 gebruikt 128-bits adressen, vergeleken met 4 ​​bits van IPv32, wat resulteert in 7.9 × 1028 keer zoveel mogelijke adressen als IPv4. We zijn het met RIPE eens dat "zonder grootschalige IPv6-implementatie, we het risico lopen een toekomst in te gaan waarin de groei van ons internet onnodig beperkt wordt."

Meerdere domeinnaamregistrators overtreden

Steve Dent bij Engadget meldt dat Web.com en zijn dochterondernemingen NetworkSolutions.com en Register.com eind augustus 2019 door aanvallers werden geschonden.

Volgens Web.com betrof de inbreuk een "beperkt aantal van zijn computersystemen", dat "er geen creditcardgegevens waren gecompromitteerd" en dat zij niet geloven dat opgeslagen, gecodeerde wachtwoorden kwetsbaar zijn (maar dat klanten deze moeten wijzigen) . De aanvallers hebben echter mogelijk contactgegevens kunnen verzamelen, zoals "naam, adres, telefoonnummers, e-mailadressen en informatie over de services die we aanbieden aan een bepaalde accounthouder."

Dent merkt op dat het compromis van een domeinnaamregister mogelijk ernstige gevolgen heeft:

Hackers bijvoorbeeld een keer aangetast de domeinnaamregistrar van een Braziliaanse bank en stuurde gebruikers door naar vergelijkbare sites die hun inloggegevens stalen en malware installeerden. "Als je DNS onder de controle staat van cybercriminelen, ben je in feite verkloot", vertelde Kaspersky's Dmitry Bestuzhev Bedraad over het incident.

De afhaalmaaltijd van SSL.com: Als u mogelijk door deze inbreuk bent getroffen, controleer dan uw DNS-records en wijzig uw wachtwoord.
Bedankt voor het bezoeken van SSL.com, waar wij geloven dat een veiliger Internet is een beter Internet! U kunt contact met ons opnemen via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.


We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.