DEFECTO GRAVE EN EL SOFTWARE ANTIVIRUS KASPERSKY

Tavis Ormandy pirata informático descubrió un defecto grave que afecta el software antivirus Kaspersky y la manera de gestionar los certificados digitales de inspección.

El problema fue descubierto por el famoso hacker de Google Tavis Ormandy, la vulnerabilidad afecta al software antivirus Kaspersky y la forma en que utiliza certificados para analizar el tráfico cifrado.

La firma de seguridad tiene un CA de confianza, Kaspersky Anti-Virus raíz personal, y utiliza su certificado digital para la inspección de tráfico, de esta manera, es capaz de descifrar y analizar la exploración de patrones maliciosos.

"Con el fin de inspeccionar los flujos de datos cifrados mediante SSL / TLS, Kasperky instala un controlador PMA para interceptar todas las conexiones HTTPS salientes. Ellos conexiones SSL eficacia de proxy, la inserción de su propio certificado como una autoridad de confianza en el almacén del sistema y vuelva a colocar todos los certificados de la hoja en la marcha. Por esta razón, si se examina un certificado al utilizar Kaspersky Antivirus, el emisor parece ser "Kaspersky Anti-Virus raíz personal". Ormandy escribió en un aviso de seguridad .

El proceso implementado por Kaspersky para la interceptación certificado ha dado lugar previamente a vulnerabilidades graves. Ahora los expertos descubrieron otras cuestiones tales como la forma de hoja de certificados se almacenan en caché que aprovecha en una técnica de huellas extremadamente ingenuo.

"Kaspersky caché ha generado recientemente certificados en la memoria en caso de que el agente de usuario inicia otra conexión. Con el fin de hacer esto, Kaspersky obtiene la cadena de certificados y luego comprueba si ya se genera un certificado de la hoja coincidente en la memoria caché. Si lo ha hecho, simplemente agarra el certificado y la clave privada existente y luego se reutiliza para la nueva conexión. ", Explicó el experto.

"La memoria caché es un árbol binario, y como se generan nuevos certificados y claves de hojas, estén insertadas usando los primeros 32 bits de MD5 (serialNumber || emisor) como la clave. Si se encuentra una coincidencia para una clave, que acaba de tirar el certificado previamente generado y la clave del árbol binario y empezar a usarlo para transmitir datos al agente de usuario ".

Es fácil de entender que una clave de 32 bits abierto a ataques de fuerza bruta pueda generar una colisión en unos pocos segundos. Un atacante puede producir una colisión con otros certificados.

Ormandy también proporcionó una descripción de dicho ataque

Mallory quiere interceptar el trafico de mail.google.com, por lo que la clave de 32 bits es 0xdeadbeef.

Mallory le envía el certificado de hoja real para mail.google.com, lo que valida Kaspersky y luego genera su propio certificado y una clave.

En la próxima conexión, Mallory le envía un certificado válido de chocar con clave 0xdeadbeef, para cualquier commonName

Ahora vuelve a dirigir Mallory DNS para mail.google.com al mismo commonName, Kaspersky comienza a usar su certificado de caché y el atacante tiene el control completo de mail.google.com.

Ormandy también proporcionó una prueba del error forzando una colisión entre Hacker News y un sitio.

Fecha actualización el 2017-1-4. Fecha publicación el . Categoría: Antivirus. Autor: Mapa del sitio
antivirus Kaspersky