Akamai 研究人员针对 NSA 和英国 NCSC 发现的关键 Windows CryptoAPI 漏洞发布了概念验证漏洞,该漏洞允许 MD5 冲突证书欺骗。
原文链接:https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-windows-cryptoapi-spoofing-bug/
此安全漏洞被跟踪为 CVE-2022-34689,已通过 2022 年 8 月发布的安全更新得到解决,但 Microsoft 仅在 10 月首次发布公告时才将其公开。
“攻击者可以操纵现有的公共 x.509 证书来欺骗其身份,并执行身份验证或代码签名等操作作为目标证书,”Microsoft 解释道。
未经身份验证的攻击者可以在低复杂度攻击中利用此错误(被 Redmond 标记为严重严重性)。
今天,Akamai 云安全公司的安全研究人员发布了概念验证 (PoC) 漏洞利用,并共享了一个 OSQuery,以帮助防御者检测易受攻击的 CryptoAPI 库版本。
“我们已经在野外搜索了使用CryptoAPI的应用程序,这些应用程序容易受到这种欺骗攻击。到目前为止,我们发现旧版本的Chrome(v48及更早版本)和基于Chromium的应用程序可以被利用,“研究人员说。
“我们相信野外还有更多脆弱的目标,我们的研究仍在进行中。我们发现,数据中心中只有不到1%的可见设备被修补,其余设备无法利用此漏洞。
通过利用此漏洞,攻击者可以影响 HTTPS 连接和签名的可执行代码、文件或电子邮件的信任验证。
例如,威胁参与者可以利用此漏洞使用伪造的代码签名证书对恶意可执行文件进行签名,从而使文件看起来像来自受信任的来源。
因此,目标不会表明该文件实际上是恶意的,因为数字签名似乎来自信誉良好且值得信赖的提供商。
如果使用 CVE-2022-34689 漏洞的攻击成功,它还可能使攻击者能够执行中间人攻击并解密用户连接到受影响软件的机密信息,例如使用 Windows 的 CryptoAPI 加密库的 Web 浏览器。
“仍然有很多代码使用此API,并且可能会暴露在此漏洞中,即使对于已停产的Windows版本(如Windows 7),也需要补丁。我们建议您使用微软发布的最新安全补丁修补您的Windows服务器和端点,“Akamai说。
“对于开发人员来说,缓解此漏洞的另一种选择是使用其他WinAPI在使用证书之前仔细检查证书的有效性,例如CertVerifyCertificateChainPolicy。请记住,不使用最终证书缓存的应用程序不容易受到攻击。
两年前,美国国家安全局报告了另一个 Windows CryptoAPI 欺骗漏洞 (CVE-2020-0601),其范围要广泛得多,并影响更多潜在的易受攻击的目标。
该漏洞的PoC漏洞利用代码,现在称为CurveBall,由瑞士网络安全机构Kudelski Security和安全研究员Oliver Lyak在24小时内发布。
当时,CISA命令联邦机构在其第二份紧急指令中在十个工作日内修补所有受影响的端点。