November 2019 säkerhetsrundup

Välkommen till november 2019: s utgåva av SSL.coms säkerhetsrunda, där vi presenterar ett urval av månadens utveckling inom SSL /TLS, digitala certifikat och nätverkssäkerhet! I den här utgåvan kommer vi att täcka:

TPM-FAIL

Sirgiu Gatlan på Bleeping Computer rapporter att ett forskargrupp från Worcester Polytechnic Institute, University of Lübeck och University of California, San Diego har upptäckt två sårbarheter i Intel-firmwarebaserade TPM (fTPM) och STMicroelectronics TPM-chips (Trusted Platform Module).

Dessa sårbarheter, dubblerade TPM-FAIL av forskarna, låt angriparna återfå lagrade privata kryptografiska nycklar. På TPM-FAIL webbplatssäger forskarna att:

Vi upptäckte timingläckage på Intel-firmwarebaserade TPM (fTPM) såväl som i STMicroelectronics TPM-chip. Båda uppvisar hemliga beroende körningstider under kryptografisk signaturgenerering. Medan nyckeln ska förbli säkert inne i TPM-hårdvaran, visar vi hur den här informationen tillåter en angripare att återställa 256-bitars privata nycklar från digitala signaturscheman baserat på elliptiska kurvor.

De demonstrerade attackerna är praktiska, eftersom forskarna också hävdar att

En lokal motståndare kan återställa ECDSA-nyckeln från Intel fTPM på 4-20 minuter beroende på åtkomstnivå. Vi visar till och med att dessa attacker kan utföras på distans i snabba nätverk genom att återställa autentiseringsnyckeln för en virtuell privat nätverksserver (VPN) på fem timmar.

Gatlan noterar att "Den sårbara Intel fTPM ... används av de allra flesta datortillverkare, inklusive men inte begränsat till Dell, HP och Lenovo," och används också " Intel Internet of Things (IoT) -plattform produktfamilj som används inom industri, sjukvård, smarta städer och anslutna fordon. ”

Intel har utfärdat en plåster till deras fTPM-firmware för att fixa TPM-FAIL-sårbarheterna, och STMicroelectronics har utfärdat ett TPM-FAIL-resistent TPM-chip.

SSL.com: s takeaway: Alla med dina privata nycklar kan stjäla din identitet. Det är mycket troligt att du äger minst en enhet som påverkas av dessa sårbarheter - kolla med din enhetstillverkare för uppgraderingar av firmware.

Delegerade referenser för TLS

Den 1 november, Cloudflare meddelade stöd för delegerade referenser för TLS, ett nytt kryptografiskt protokoll utvecklat i samarbete med Facebook och Mozilla. Delegerade referenser är avsedda att underlätta SSL /TLS distribution över flera globala slutpunkter, till exempel i ett innehållsleveransnätverk (CDN). Enligt Cloudflare är en delegerad referens:

en kortvarig nyckel som certifikatets ägare har delegerat för användning i TLS. De fungerar som en fullmakt: din server bemyndigar vår server att avslutas TLS under en begränsad tid. När en webbläsare som stöder detta protokoll ansluter till våra kantservrar kan vi visa den här "fullmakt" istället för att behöva nå tillbaka till en kunds server för att få den att godkänna TLS förbindelse. Detta minskar latens och förbättrar prestanda och tillförlitlighet.

Eftersom delegerade referenser regelbundet skjuts till CDNs kantservrar innan den tidigare referensen upphör, undviker systemet den latens som är associerad med pull-baserade protokoll som Nyckellös SSL. Du kan läsa Facebook och Mozillas meddelanden om delegerade referenser här. och här.respektive och få fullständig information från IETF utkast av specifikationen.

SSL.com: s takeaway: Vi är intresserade av någon utveckling som underlättar en säker och effektiv global implementering av SSL /TLSoch kommer att följa denna teknik noga när den utvecklas.

IPv4-adresser tar slut

RIPE (Europas regionala internetregister) meddelade den 25 november att de inte har fler IPv4-adresser kvar

Vi gjorde vår slutliga / 22 IPv4-tilldelning från de sista återstående adresserna i vår tillgängliga pool. Vi har nu slut på IPv4-adresser.

RIPE säger att även om de saknar IPv4-adresser kommer de att fortsätta att återhämta sig mer i framtiden "från organisationer som har gått ur drift eller stängts, eller från nätverk som returnerar adresser som de inte längre behöver", och kommer att utdela dem ut till Lokala Internetregister (LIRs) via en väntelista.

SSL.com: s takeaway: IPv6 använder 128-bitars adresser, jämfört med IPv4: s 32 bitar, vilket resulterar i 7.9 × 1028 gånger så många möjliga adresser som IPv4. Vi håller med RIPE om att "utan bred IPv6-distribution, riskerar vi att gå in i en framtid där tillväxten på vårt Internet är onödigt begränsad."

Registratorer för flera domännamn bryts

Steve Dent på Engadget rapporter att Web.com och dess dotterbolag NetworkSolutions.com och Register.com bröts av angripare i slutet av augusti 2019.

Enligt Web.com involverade överträdelsen ett "begränsat antal av dess datorsystem", att "inga kreditkortsuppgifter komprometterades" och att de inte tror att lagrade, krypterade lösenord är sårbara (men att kunderna bör ändra dem) . Angriparna kan dock ha kunnat samla in kontaktuppgifter som ”namn, adress, telefonnummer, e-postadresser och information om de tjänster vi erbjuder till en viss kontoinnehavare.”

Dent konstaterar att kompromissen med ett domännamnsregister kan ha allvarliga konsekvenser:

Till exempel hackare en gång äventyras domännamnsregistratorn för en brasiliansk bank och omdirigerade användare till liknande webbplatser som stal deras referenser och installerade skadlig kod. "Om din DNS är under kontroll av cyberbrottslingar är du i grund och botten", berättade Kasperskys Dmitry Bestuzhev Trådbunden om händelsen.

SSL.com: s takeaway: Om du kan ha drabbats av detta intrång, kontrollera dina DNS-poster och ändra ditt lösenord.
Tack för att du besöker SSL.com, där vi tror a säkrare Internet är en bättre Internet! Du kan kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.


Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.