Facebook discovered fake Digital Certificates while observing SSL connections

A group of researchers at Carnegie Mellon University in collaboration with Facebook, analyzed more than 3 million SSL connections and found strong evidence that at least 0.2% (6845) of them are made using forged Digital Certificates (self-signed certificates), which are not authorized by a legitimate Certification Authority, but which can be accepted as valid certificates for most browsers.

They used Flash Player plugin to enable socket functionality and implement a partial SSL handshake to capture the forged certificates. In general, modern browsers display a warning message (like the one below) when they encounter errors in the SSL certificate validation process, but still allow the users to continue, even with a less secure connection.

Facebook Fake SSL ConnectionFake SSL connections can argue that the certificate errors are caused by a poorly configured server. According to usability studies, many users ignore SSL certificate errors and thus are vulnerable to the simplest attacks. This means that any hacker can successfully impersonate any website, even for HTTPS connections, to achieve a man-in-the-middle attack, in order to intercept encrypted data transmitted over that connection.

Fake Digital Certificates signed with stolen keys from antivirus

Researchers noticed that the majority of forged SSL certificates use the same name as the original Digital Certificate issuer organizations, such as VeriSign or Comodo.

Some antivirus software such as BitDefender, ESET, BullGuard, Kaspersky Lab, NordNet and DefenderPro, have the ability to intercept and scan SSL connections on the client’s system, in order to protect them from fake SSL connections. These antivirus products generate their own certificates, which replace the self-signed certificates from the attackers.

“One should be wary of professional attackers that might be capable of stealing the private key of the signing certificates from antivirus vendors, which may essentially allow them to spy on the antivirus users (since the antivirus root certificate would be trusted by the client).” the reasearchers explained. “Hypothetically, governments could also compel antivirus vendors to hand over their signing keys.”

Similar capabilities were observed in various Firewall and Parental Control software, which could also be compromised by hackers in order to generate valid, but fake Digital Certificates.

Digital Certificates generated by malware

Researchers also noticed another interesting self-signed certificate called “IopFailZeroAccessCreate”, which was generated by some malware on client-end systems and using the same name as the trusted certificate issuer “VeriSign Class 4 Public Primary CA”.

“These variants provide clear evidence that attackers in the wild are generating certificates with forged issuer attributes, and even increased their sophistication during the time frame of our study.” they said.

Detected statistics show that the clients infected with the same malware that is serving the “IopFailZeroAccessCreate” bogus certificates were widespread across 45 different countries, including Mexico, Argentina and United States. Mallware researchers at Facebook, in collaboration with Microsoft Security Essentials team confirmed this suspicion and identified the exact type of malware responsible for this attack.

Detection and attack migration techniques

Attackers may also restrict Flash-based sockets by blocking Flash socket policy traffic on port 843 or can avoid intercepting SSL connections made by Flash Player in order to bypass the detection methods used by researchers. To counter this, websites could serve socket policy files through firwall friendly ports (80 and 443), by multiplexing web traffic and socket policy requests.

In addition, researchers have discussed migration techniques in the paper, such as HTTP Strict Transport Security (HSTS), Public Key Pinning Extension for HTTP (HPKP), TLS Origin-Bound Certificates (TLS-OBC) and Certificate Validation with Notaries and DNS-based Authentication of Named Entities (DANE), which could be used by servers to enforce HTTPS and validate digital certificates.

How to remove mallware

If you are infected with a similar malware, follow these steps:

  • Check the hosts file and make sure it doesn’t contain malicious entries
    (C:\Windows\System32\Drivers\etc\hosts);
  • Check the DNS settings on your system or on the router/modem;
  • Check the browser proxy settings;
  • Check the add-ons and plugins installed in your browser;
  • Install reputed Antivirus and Firewall and scan the system for malicious files.

Source: The Hacker News

14 Comments

  1. Pingback: Cum sa rezolvi problema cu certificatul SSL in Google Chrome

  2. ion says:

    Articolul e bun dar face presupuneri gresite. Iti spun din surse sigure ca cel putin Bitdefender nu are cum sa aiba cheile private furate sau compromise. Cheile private sunt unice pentru fiecare utilizator si instalare de bitdefender (se genereaza la fiecare install) si se creeaza si sunt pastrate doar pe statia utilizatorului.

    Astfel teoria ca un guvern poate forta o companie de av sa predea cheile de criptare nu sta in
    picioare.

    Daca un atacator ajunge sa iti poata fura cheia privata de pe calculatorul unde ai instalat antivirusul ai deja mult mai multe probleme decat faptul ca iti intercepteaza facebook-ul.

    • Mai citeste odata articolul si gandeste-te la posibilitatea ca ai deja malware-ul in cauza in calculator si inca nu este pe lista BitDefender. Desigur, acest malware probabil a fost deja inclus pe lista lor de potentiale amenintari si cum este detectat este automat si sters. Dar tine cont ca cei care produc virusi/malware, sunt intotdeauna cu un pas inaintea celor care fac produse antivirus. Dureaza cel putin cateva ore pana le adauga pe lista. Asta insemnand ca exista timp suficient ca malware-ul sa fure certificatul antivirusului si sa-l foloseasca in scopuri malitioase, chiar daca acesta este generat la instalare. Deci nu e o presupunere chiar atat de SF.

      • Mihai says:

        Am si eu o problema cu Google CHROME. Imi da urmatoarea eroare cand intru pe google.ro :

        ” Conexiunea nu este privată
        Atacatorii pot încerca să vă fure informațiile de pe google.ro (de exemplu, parolele, mesajele sau informațiile despre cardurile de credit) – NET::ERR_CERT_AUTHORITY_INVALID

        Youtoube-ul, si facebook-ul si alte site-uri merg dar nu ma lasa sa intru pe google sa caut si eu ceva. Am tot incercat tot felul si nu inteleg care e problema.

        Rulez pe Windows 10. Antivirus Kaspersky Internet Security 2015 (desi nu cred k este antivirusul ca pana acuma nu am avut problema cu el)

        • Mi se pare ciudat ca apare eroarea asta pe Windows 10. De obicei aparea pe Windows XP pentru ca era mult prea vechi sistemul de operare. Eroarea apare pentru ca autoritatile de certificare folosesc mai nou un protocol HSTS pentru autorizarea certificatelor SSL. Probabil ca trebuie sa updatezi Chrome-ul la ultima versiune.

  3. Andreea says:

    Si eu in cazul asta ce sa fac?

  4. Lore says:

    Am și eu aceeași problema nu pot accesa pagina de Google în nici un fel după nici un navigator pentru ca imi scrie conexiunea nu este sigura, și am wind 8 și un laptop samsung.Este încă în garanție. L-Am trimis de 3 ori în garanție, printre care ultima data direct la Samsung și mi-au spus ca nu au găsit nici o anomalie dar de fapt laptopul are aceasta problema din primul moment în care l-am cumparat, am ajuns acasă și am vrut sa intru pe Google. Ce pot sa mai fac? Va rog ajutati-mă pentru ca nu știu ce sa mai fac cu el.

    • Faptul ca nu poti accesa pagina Google nu are nici un fel de legatura cu partea hardware (fizica) a laptopului si nu este necesar sa-l duci la garantie pentru asta. Problema este in software, adica fie cu Windows-ul, fie cu Chrome, sau ce alte browsere mai folosesti. Este foarte posibil ca eroarea respectiva sa apara pentru ca ai data si ora setate gresit. Daca ai data si ora corecte, atunci s-ar putea sa ai Windows-ul virusat. Iti recomand sa instalezi un antivirus si sa scanezi sistemul de virusi.

      • Macamete George says:

        Salut. Am aceeasi problema: singurul website pe care nu pot intra este google in rest totul merge frumos. Am verificat tot sistemul, antivirus original nu fake ( sa ii zic asa ) , data si ora sunt corect ( ma uit simultan la sistemul care are probleme si cel care este ok, respectiv cel de pe care scriu acum.
        Nu se pupa cu nimic problema mea cu a altor persoane… ce sfaturi poti sa imi dai :(?

      • Macamete George says:

        Mentionez ca folosesc Windows 8.1 Pro N iar antivirusul meu este Bitdefender Total Security 2015

        • Mi se pare tare suspect. Cred ca ai Firewall-ul de la Bitdefender configurat prost. Eset si Bitdefender cauzeaza destul de multe probleme cu certificatele SSL pentru ca incearca sa iti scaneze conexiunea criptata si altereaza certificatele de securitate originale, ceea ce nu este ok deloc. Gasesti pe Google cum sa opresti scanarea pentru conexiunile securizate, posibil chiar la ei pe site.

          Daca nu, incearca sa reinstalezi browser-ul, sau in cel mai rau caz, Windows-ul. Poate are vreun bug pe undeva.

  5. paul says:

    A dracului data ce poate sa faca…desi nu stiu cum s-a intamplat sa se deregleze. Merci mult pentru ponturi!!!

Comments are closed. If you have any questions or concerns, please use the form on the Contact page.