Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома.

В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей в программном обеспечении, слабостях в конфигурации и социальной инженерии.

Однако существуют сценарии, при которых Red Team получает доступ к активам, ставящим под угрозу не отдельные серверы или учетные записи, а саму основу доверия в информационной системе — инфраструктуру открытых ключей (Public Key Infrastructure, PKI).

Получение злоумышленником цепочек сертификатов, включая корневые (Root CA), промежуточные (Intermediate CA) сертификаты центров сертификации (УЦ), а также сертификаты в форматах .cer и .pem, равносильно вручению ему »ключей от королевства».

В данной статье мы рассмотрим, какие практические угрозы теоретически может реализовать Red Team в такой ситуации, и какие меры защиты должна предусматривать Blue Team.

PKI — построена на модели доверия.

Любая система (браузер, операционная система, клиент VPN) доверяет сертификатам, подписанным корневым УЦ.

Если злоумышленник получает закрытые ключи (private keys) от этих УЦ, он может самостоятельно изготавливать любые сертификаты, которые будут безусловно доверяться во всей инфраструктуре.

Это не просто утечка данных — это кража самого механизма установления «доверительных отношений».

Предположим, что Red Team в ходе проведения тестирования получает в свое распоряжение: