martes, 18 de septiembre de 2012

Falsificación de certificados en teléfonos Windows Phone 7


Se ha descubierto una vulnerabilidad en Windows Phone 7 a la hora de comprobar los certificados X.509 de servidores POP3/IMAP/SMTP a través de SSL. Según los datos proporcionados por un investigador que permanece anónimo, el sistema operativo no valida correctamente los campos CN (Common Name, Nombre/dominio de Entidad) al no verificar si coincide el dominio del servidor con lo reportado por el campo CN del certificado proporcionado.

Windows Phone 7 es el nuevo sistema operativo de Microsoft destinado a terminales móviles y evolución del anterior Windows Mobile 6 perteneciente a la familia Windows CE. Esta nueva versión supone un rediseño total del sistema operativo, tanto en interfaz como en servicios, enfocándose en una mayor sencillez de uso para el usuario.

El fallo en la implementación de SSL, al que se le ha asignado el código CVE-2012-2993, permitiría engañar al usuario. La víctima creería conectarse a su servidor de correo por SSL, pero podría estar haciéndolo realmente a un servidor de un tercero incluso si comprobase el certificado.

Ejemplo del campo CN y dominio de un servidor en un certificado X.509 
A modo de ejemplo, la siguiente es una configuración normal de un servidor de correo en Apache mediante SSL, donde ServerName indica el nombre de dominio del servidor que será comprobado por el certificado:


Si este certificado es inválido (el campo CN del certificado no coincide con el contenido de ServerName) generaría errores.

Estas comprobaciones no son realizadas correctamente por Windows Phone, por lo que un atacante podría montar un servidor de correo SSL fraudulento y hacerse pasar por uno oficial. Si consigue redirigir el dominio (envenenando los DNS, por ejemplo, o a través de cualquier ataque MITM), podría averiguar el login o datos de sesión de la víctima y comprometer su correo a través de certificados  arbitrarios, puesto que el terminal no realiza las comprobaciones necesarias.

Microsoft está trabajando en una actualización del sistema que será proporcionada a través de las actualizaciones automáticas OTA desde los servidores oficiales. Fue notificado el 19 de junio de este año, aunque se ha hecho público recientemente..

Más información:

Vulnerability Note VU#389795
http://www.kb.cert.org/vuls/id/389795



José Mesa Orihuela
jmesa@hispasec.com

Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017