W efekcie zaniedbań Microsoftu doszło do karygodnego naruszenia bezpieczeństwa

Nieprawidłowe podejście do własnej usługi pocztowej i zaniedbania dotyczące kwestii bezpieczeństwa mogą mieć fatalne skutki. Przekonał się o tym Microsoft, po tym, jak nieuprawniona osoba była w stanie zamówić certyfikat SSL, dla jednej z domen zarządzanych przez korporację. Jak do tego doszło? Wszystko przez zaniedbania, a także zbyt luźne podejście do specyficznych funkcji oferowanych przez pocztę Outlook.

Nie znamy dokładnego imienia i nazwiska osoby, której udało się dokonać tego nietypowego zabiegu. Na szczęście nie okazała się ona włamywaczem, a jedynie ciekawym użytkownikiem, który postanowił sprawdzić zabezpieczenia Microsoftu. Darmowa usługa pocztowa Outlook.com pozwala na tworzenie do konta specjalnych aliasów pocztowych. Nie są to aliasy takie, jakie oferuje Google, czyli zawierające także nazwę konta (login+alias@gmail.com), lecz zupełnie osobne adresy. Ciekawski użytkownik postanowił stworzyć alias o nazwie hostmaster@live.fi – adres był wolny, mechanizm nie protestował, mógł więc on go używać.

Problem w tym, że tego typu adres należy do grupy uprzywilejowanych, które zewnętrznym dostawcom wskazują osobę o uprawnieniach administratora. W celu dalszej zabawy użytkownik postanowił zamówić certyfikat SSL dla domeny live.fi, która należy przecież do Microsoftu. W zależności od wybranego certyfikatu weryfikacja posiadacza domeny wygląda różnie i może być złożona z wielu etapów. Podstawowe, najtańsze certyfikaty są najczęściej potwierdzane jedynie przez uprzywilejowane konta – firma tworząca certyfikat wysyła odpowiednie potwierdzenie na adres administratora. W tym przypadku padło na Comodo, które akceptuje adresy admin@, administrator@, postmaster@, webmaster@, oraz właśnie pechowy hostmaster@. Użytkownikowi udało się zdobyć certyfikat, nikt nie protestował, nikt sprawą się nie zainteresował.

Gdyby był osobą o złych zamiarach, mógłby uzyskane pliki wykorzystać do ataków typu man-in-the-middle np. do przechwytywania danych logowania użytkowników korzystających z witryny live.fi. Ani przeglądarki, ani pakiety ochronne nie miałyby żadnego powodu do tego, aby nie akceptować jego podrobionej witryny, w końcu posiadałaby zaufany certyfikat. Użytkownik zauważył problem w styczniu i zgłosił sprawę fińskiemu urzędowi zajmującemu się komunikacją, ale nie uzyskał żadnej odpowiedzi. Zgłaszał się także kilkukrotnie do Microsoftu, ale i tutaj został zupełnie zignorowany. Firma najwyraźniej nie była zainteresowana bezpieczeństwem swoich domen internetowych, co powinno być wyraźnym sygnałem ostrzegawczym dla osób korzystających z jej usług. Na reakcję należało czekać aż do ostatnich poprawek. Microsoft zaktualizował swoją listę zaufanych certyfikatów i odwołał certyfikat wygenerowany przez żartownisia.

W przypadku tego incydentu zawiodło wiele czynników – Microsoft nie tylko w sposób nieprzemyślany stworzył system aliasów, dopuszczając tworzenie nazw zarezerwowanych dla administratorów, ale dodatkowo zbagatelizował problem i nie reagował na powiadomienia. Wina leży także po stronie Comodo, które zautomatyzowało proces wydawania certyfikatów i nie sprawdza zamówień nawet w przypadku domen należących do dużych korporacji. Oczywiście niemożliwe byłoby ręczne sprawdzanie wszystkich certyfikatów, ale to tylko obnaża słabość całego obecnie używanego systemu certyfikacji.