Выпущен эксплойт для критической ошибки спуфинга Windows CryptoAPI

Исследователи Akamai выпустили код эксплойта, подтверждающий концепцию, для критической уязвимости Windows CryptoAPI, обнаруженной АНБ и NCSC Великобритании, что позволяет подделывать сертификаты MD5.

Выпущен эксплойт для критической ошибки спуфинга Windows CryptoAPI. Фото: СС0

Недостаток безопасности CVE-2022-34689 был устранен с помощью обновлений выпущенных в августе 2022 года, но Microsoft обнародовала информацию о нём только в октябре.

Из сообщения компании:

«Злоумышленник может манипулировать существующим общедоступным сертификатом x.509, чтобы подделать свою личность и выполнить такие действия, как аутентификация или подпись кода в качестве целевого сертификата».

Злоумышленники, не прошедшие проверку подлинности, могут использовать эту критическую ошибку в атаках низкой сложности.

Исследователи безопасности из компании Akamai, занимающейся облачной безопасностью, опубликовали экспериментальный эксплойт (PoC) и поделились OSQuery, чтобы помочь защитникам обнаруживать версии библиотеки CryptoAPI, уязвимые для атак.

Из сообщения исследователей безопасности:

«Мы приложения, уязвимые для этой спуфинговой атаки. На данный момент мы обнаружили, что старые версии Chrome (v48 и более ранние) и приложения на основе Chromium. На практике есть более уязвимые цели, и наше исследование все еще продолжается. Мы обнаружили, что менее 1% видимых устройств исправлены, что делает остальные незащищенными от использования этой уязвимости».

Используя эту уязвимость, злоумышленники могут повлиять на проверку доверия для соединений HTTPS и подписанного исполняемого кода, файлов или электронных писем.

Например, они могут подписать вредоносные исполняемые файлы с помощью поддельного сертификата подписи кода, создав видимость того, что файл получен из надежного источника.

В результате у целей не будет никаких признаков того, что файл на самом деле является вредоносным, учитывая, что цифровая подпись, похоже, исходит от авторитетного и заслуживающего доверия поставщика.

Если атака с использованием эксплойта CVE-2022-34689 будет успешной, она также может предоставить злоумышленникам возможность выполнять атаки «человек посередине» и расшифровывать конфиденциальную информацию о пользовательских подключениях к уязвимому программному обеспечению, такому как веб-браузеры, использующие криптографическую библиотеку Windows CryptoAPI.

Из сообщения исследователей безопасности:

«Все еще существует много кода, который использует этот API и может быть подвержен этой уязвимости, что требует исправления даже для устаревших версий Windows, таких как Windows 7. Мы рекомендуем вам установить последнее выпущенное исправление безопасности для ваших серверов и конечных точек Windows. Microsoft. Для разработчиков есть еще один способ уменьшить эту уязвимость — использовать другие WinAPI для двойной проверки действительности сертификата перед его использованием, например CertVerifyCertificateChainPolicy. Имейте в виду, что приложения, которые не используют кэширование конечного сертификата, не уязвимы».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме