值得庆幸的是,该漏洞很容易被诊断出来,破解这种攻击也并不困难:
这是什么样的攻击?
HTTPS网站会对访问者的浏览器发送安全证书,以通过身份验证来保证安全链接。安全证书中包含了该网站的主机名称和它的公共密钥,并由认证机构CA签署并加密该安全证书。浏览器则通过自己信任的CA列表对访问网站进行安全验证,检查该CA是否值得信任,从而避免受到钓鱼攻击。
而在这次特定的袭击中,研究员成功地建立了一个有效的中间CA证书(经过权威CA认证)。然后,他们利用它来生成任意有效的Web站点证书,使它们能够模仿HTTPS网站、监测甚至篡改这些网站。这种攻击可能会影响到使用基于MD5机制所产生的X.509证书的应用软件。黑客们正在准备通过碰撞攻击法(collision attack)来攻击MD5运算法则,然后产生假冒的认证授权中心(Certificate Authority )。
这次攻击简要概况如下:
1、攻击者利用MD5中的漏洞创建假冒CA。
2、攻击者可为某个Web站点创建有效HTTPS证书。
3、攻击者利用安全证书获得大部分浏览器的信任。
4、攻击者可以肆意执行基于浏览器攻击并获取终端用户敏感数据。
就实际情况而言,这意味着谁掌控了假冒CA谁就可以发动中间人式的攻击,并且获得用户的银行帐号信息。其他的攻击还包括篡改发送到安全站点的数据信息以及钓鱼攻击。
破解攻击步骤:
在这种情况下,最好的解决办法就是废除所有的MD5证书。简要步骤概述如下:
保护Web应用程序:
1、查明任何证书或者使用MD5的证书。特别是要仔细核对TLS/SSL 服务器或者客户端证书,使用Rapid NeXpose 可以扫描该漏洞。
2、采用SHA-1或者SHA-2而不是MD5验证安全证书。