.
Enquanto tentavam escapar do calor de Las Vegas durante o Black Hat no mês passado, os pesquisadores do watchTowr Labs decidiram investigar as fraquezas no protocolo WHOIS. Eles alegam ter encontrado uma maneira de minar as autoridades de certificação, nas quais o mundo confia para manter a internet segura ao verificar a identidade dos sites.
O banco de dados WHOIS é usado para descobrir quem é o proprietário registrado de um domínio da Internet.
Enquanto aproveitava o ar condicionado do hotel, a equipe watchTowr descobriu o servidor WHOIS para [.]mobi, o domínio de nível superior (TLD) para sites otimizados para visualização em dispositivos móveis, migrou do whois[.]dotmobiregistry[.]rede para whois[.]legal[.]móvel.
Então eles fizeram o que qualquer bom pesquisador de ameaças faria. Eles gastaram US$ 20 para comprar o domínio expirado, de acordo com o CEO e fundador da watchTowr, Benjamin Harris, que falou com O Registro sobre a descoberta da equipe e suas implicações antes da pesquisa publicada hoje.
“O desafio subjacente é que as pessoas estão efetivamente tratando a infraestrutura como temporária, mas com efeitos muito, muito permanentes sobre o que ela dá acesso, o que ela autoriza, onde é confiável, etc., etc., o que está nos tirando o sono”, disse Harris.
Milhões de sistemas — incluindo empresas de segurança cibernética e servidores de e-mail usados por governos, militares e universidades — ainda estavam consultando o domínio expirado, o que significa que um grupo de estados-nação da Rússia ou da China poderia ter comprado o domínio, configurado seu próprio servidor WHOIS e, então, usado-o para responder a qualquer pessoa que o consultasse.
Claro, isso não caiu em mãos nefastas; acabou nas mãos do watchTowr.
Em 30 de agosto de 2023, os pesquisadores criaram um servidor WHOIS e o apontaram para whois[.]dotmobiregistry[.]rede para identificar quem estava usando o domínio legado.
Ao implantar o novo servidor WHOIS, a equipe elaborou uma resposta para qualquer pessoa que não tivesse atualizado seu cliente para usar o novo [.]endereço mobi, e essa resposta incluía arte ASCII – obviamente. Nesse caso, é o logotipo da empresa, que parece uma torre de vigia de castelo. Também incluía detalhes falsos do WHOIS indicando watchTowr como o proprietário de cada entidade consultada.
Menos de uma semana depois, em 4 de setembro, o watchTowr identificou mais de 135.000 sistemas exclusivos se comunicando com o servidor e mais de 2,5 milhões de consultas.
Entre elas estavam empresas privadas, Group-IB, VirusTotal e outras empresas e ferramentas de segurança, além de servidores de e-mail para inúmeras entidades governamentais, militares e universitárias.
Só o [.]Somente os endereços governamentais pertenciam aos Estados Unidos, Argentina, Brasil, Paquistão, Índia, Bangladesh, Indonésia, Butão, Filipinas, Israel, Etiópia e Ucrânia, segundo nos disseram.
Essas consultas também incluíram vários registradores de domínio conhecidos, como domínio[.]com, godaddy[.] e quem[.]é, entre outras, mais autoridades de certificação (CAs) responsáveis pela emissão de certificados TLS/SSL para domínios como o Google[.]mobi e microsoft[.]mobi. As CAs, nos disseram, também estavam usando o servidor WHOIS do watchTowr para identificar quem é o dono do domínio.
Para Microsoft[.]mobi, por exemplo, os pesquisadores descobriram que a GlobalSign analisaria as respostas fornecidas por seu servidor e apresentaria whois[@]torre de vigia[.]com como um endereço de e-mail autorizado.
“Estamos todos muito, muito cientes de quanto as autoridades de certificação foram alvos nos últimos dez anos por estados-nação”, disse Harris. “Então nossa capacidade de começar a emitir coisas como certificados para a Microsoft[.]mobi e google[.]O mobi entra no espaço de atuação dos estados-nação que querem usar essa capacidade para interceptar tráfego de internet em escala nacional, até mesmo visando usuários individuais para espionar comunicações.”
Levando isso ainda mais longe – o que Harris rapidamente aponta, mas o watchTowr não fez – isso poderia ser usado para co-assinar malware como Microsoft, permitindo assim que códigos maliciosos contornassem endpoints existentes e outros produtos de controle de segurança.
“O que realmente nos assusta, além da interceptação de comunicações, espionagem, etc., é o fato de sabermos que esses clientes têm vulnerabilidades materialmente triviais e exploráveis dentro deles”, acrescentou.
Alguns deles são detalhados no artigo do watchTowr, e há até um de 2015 que permite RCE de qualquer servidor malicioso.
“Está documentado publicamente, e essas coisas são ridiculamente fáceis de conseguir”, disse Harris, observando que se sua equipe tivesse um pouco menos de escrúpulos, “adoraríamos ter descoberto quantos desses sistemas são consultas entre literalmente centenas de milhares que eram realmente exploráveis por vulnerabilidades conhecidas”.
Ele disse que suspeita que seria “uma parcela significativa”.
Em termos de como consertar o problema maior aqui, não há uma resposta fácil, de acordo com Harris. Primeiro, há o problema de domínios expirados e infraestrutura descartável na internet, mas também há buracos enormes nas autoridades de certificação TLS/SSL, que serão o assunto de pesquisas futuras.
A confiança depositada nos protocolos de internet e nos processos de criptografia é “equivocada”, de acordo com a empresa de segurança.
“Da nossa perspectiva, esses impactos são bem sérios”, disse Harris. “Não acho que seja isso que esperamos que a integridade essencial pareça na internet.” ®
.
