Kod exploita Proof of Concept został opublikowany przez badaczy Akamai dla krytycznej luki Windows CryptoAPI wykrytej przez NSA i brytyjską NCSC, która umożliwia fałszowanie certyfikatu kolizji MD5.

Ta luka w zabezpieczeniach, śledzona jako CVE-2022-34689, została usunięta w aktualizacjach zabezpieczeń wydanych w sierpniu 2022 r., ale Microsoft upublicznił ją dopiero w październiku, kiedy poradnik został opublikowany po raz pierwszy.

„Atakujący może manipulować istniejącym publicznym certyfikatem x.509, aby sfałszować swoją tożsamość i wykonać działania, takie jak uwierzytelnienie lub podpisanie kodu jako docelowego certyfikatu” — wyjaśnia Microsoft.

Nieuwierzytelnieni napastnicy mogą wykorzystać ten błąd (oznaczony przez firmę Redmond jako poziom istotności krytycznej) w atakach o niskiej złożoności.

Dzisiaj badacze bezpieczeństwa z firmy Akamai zajmującej się bezpieczeństwem w chmurze opublikowali exploit typu proof of concept (PoC) i udostępnili OSQuery, aby pomóc obrońcom wykryć wersje bibliotek CryptoAPI podatne na ataki.

„Szukaliśmy aplikacji w środowisku naturalnym, które wykorzystują CryptoAPI w sposób podatny na ten atak fałszowania. Jak dotąd odkryliśmy, że można wykorzystać stare wersje Chrome (v48 i wcześniejsze) oraz aplikacje oparte na Chromium” – naukowcy powiedział.

„Uważamy, że na wolności jest więcej wrażliwych celów, a nasze badania wciąż trwają. Odkryliśmy, że mniej niż 1% widocznych urządzeń w centrach danych jest załatanych, przez co reszta nie jest chroniona przed wykorzystaniem tej luki”.

Wykorzystując tę ​​lukę, osoby atakujące mogą wpływać na weryfikację zaufania dla połączeń HTTPS oraz podpisanego kodu wykonywalnego, plików lub wiadomości e-mail.

Na przykład cyberprzestępcy mogą wykorzystać tę lukę do podpisywania złośliwych plików wykonywalnych fałszywym certyfikatem podpisywania kodu, co sprawia wrażenie, że plik pochodzi z zaufanego źródła.

W rezultacie cele nie miałyby żadnych wskazówek, że plik jest faktycznie złośliwy, biorąc pod uwagę, że podpis cyfrowy wydaje się pochodzić od renomowanego i godnego zaufania dostawcy.

Jeśli atak wykorzystujący lukę CVE-2022-34689 zakończy się sukcesem, może również zapewnić atakującym możliwość przeprowadzania ataków typu man-in-the-middle i odszyfrowywania poufnych informacji dotyczących połączeń użytkownika z oprogramowaniem, którego dotyczy luka, np. Biblioteka kryptograficzna CryptoAPI systemu Windows.

„Nadal istnieje wiele kodu, który korzysta z tego interfejsu API i może być narażony na tę lukę, co gwarantuje łatkę nawet dla wycofanych wersji systemu Windows, takich jak Windows 7. Radzimy załatać serwery i punkty końcowe Windows za pomocą najnowszej opublikowanej poprawki bezpieczeństwa przez Microsoft” – powiedział Akamai.

„Dla programistów inną opcją ograniczenia tej luki jest użycie innych WinAPI do podwójnego sprawdzenia ważności certyfikatu przed jego użyciem, takich jak CertVerifyCertificateChainPolicy. Należy pamiętać, że aplikacje, które nie korzystają z buforowania certyfikatów końcowych, nie są podatne na ataki”.

NSA zgłosiła dwa lata temu kolejną lukę związaną z fałszowaniem Windows CryptoAPI (CVE-2020-0601), o znacznie szerszym zakresie i wpływającą na bardziej potencjalnie podatne cele.

Kod exploita PoC dla luki, obecnie znanej jako CurveBall, został opublikowany w ciągu 24 godzin przez szwajcarską firmę zajmującą się bezpieczeństwem cybernetycznym Kudelski Security i badacza bezpieczeństwa Olivera Lyaka.

W tamtym czasie CISA nakazała agencjom federalnym w swojej drugiej w historii dyrektywie awaryjnej załatanie wszystkich punktów końcowych, których dotyczy problem, w ciągu dziesięciu dni roboczych.