Студенты взломали Microsoft CardSpace // 22 Ноября 2012

Студенты из Рурского университета в г. Бохум (Bochum, Германия) продемонстрировали уязвимость новой технологии проверки подлинности CardSpace, которую компания Microsoft предложила взамен Passport и InfoCard.

В рамках проведенной работы исследователям удалось получить чужие пользовательские удостоверения CardSpace с помощью фальшивого сервера DNS и других распространенных хакерских приемов.

Технология CardSpace сейчас поставляется в качестве встроенного механизма проверки подлинности в операционной системе Windows Vista. Назначение этой технологии состоит в передаче личных данных пользователя на заинтересованные в этом сайты. Записанные личные данные могут храниться на локальном компьютере или в серверах независимых поставщиков цифровых сертификатов, таких, как CA или Verisign. С помощью удостоверения CardSpace пользователь может совершать покупки, удостоверять свою личность в социальных сетях и совершать другие действия в Интернете. Кроме того, технология CardSpace, по заявлениям Microsoft, должна быть в ближайшем будущем интегрирована с открытой технологией авторизации OpenID, используемой в социальной сети LiveJournal и других популярных ресурсах.

Авторами исследования выступили два студента – Себастиан Гаджек (Sebastian Gajek) и Сюань Чен (Xuang Chen) – а также профессор Йорг Швенк (Jörg Schwenk) из Института Horst Görtz, созданного на базе Рурского университета для изучения проблем ИТ-безопасности. В своей работе они показали, как можно выманить у пользователя личный сертификат и использовать этот сертификат для проверки подлинности. В результате, как говорят авторы, злоумышленник может выполнять любые операции от имени жертвы. Для получения сертификата, которые передается по сети только в зашифрованном виде, исследователи подменили ссылку на сервер DNS по умолчанию в компьютере жертвы, а затем использовали ложный сервер DNS для генерации фальшивого запроса между сайтами. В результате удалось получить полный зашифрованный сертификат, который затем использовался для выполнения операций без ведома его настоящего владельца.

На данный момент компания Microsoft сообщила о том, что уже исследует результаты работы немецких студентов и собирается решить проблему в ближайшее время. Следует заметить, что пока неизвестны случаи реального перехвата удостоверений CardSpace в реальной жизни. Сами же студенты предлагают усовершенствовать компонент Same Origin Policy в механизме обеспечения безопасности веб-браузеров, сообщает heise.de.