ABD Ulusal Güvenlik Teşkilatı (NSA) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC) geçen yıl Microsoft’a bildirdiği Windows CryptoAPI’de şu anda yama uygulanmış yüksek önem dereceli bir güvenlik açığı için kavram kanıtı (Poc) kodu yayımlandı .
şu şekilde izlendi: CVE-2022-34689 (CVSS puanı: 7.5), kimlik sahtekarlığı güvenlik açığı, teknoloji devi tarafından Ağustos 2022’de yayınlanan Salı Yaması güncellemelerinin bir parçası olarak ele alındı, ancak yalnızca iki ay sonra 11 Ekim 2022’de kamuya açıklandı.
“Bir saldırgan, mevcut bir halkı manipüle edebilir. x.509 sertifikası kimliklerini taklit etmek ve hedeflenen sertifika olarak kimlik doğrulama veya kod imzalama gibi eylemler gerçekleştirmek için” Microsoft dedim o sırada yayınlanan bir danışma belgesinde.
bu Windows Kripto API’sı geliştiricilerin uygulamalarına dijital sertifikalar kullanarak veri şifreleme/şifre çözme ve kimlik doğrulama gibi kriptografik hizmetler eklemeleri için bir arayüz sunar.
Web güvenlik şirketi Akamai, yayınlandı PoC, dedim CVE-2022-34689’un kökü, bir x.509 sertifikasını kabul etmek üzere tasarlanmış güvenlik açığı bulunan kod parçasının, yalnızca sertifikanın MD5 parmak izine dayanan bir kontrol gerçekleştirmesinden kaynaklanmaktadır.
Hashing için kullanılan bir mesaj özet algoritması olan MD5, Aralık 2008 itibariyle kriptografik olarak bozuktur. doğum günü saldırılarıbir karma işlevindeki çarpışmaları bulmak için kullanılan bir kriptanalitik yöntem.
Bu eksikliğin net etkisi, kötü bir aktörün bir kurban uygulamaya yasal bir sertifikanın değiştirilmiş bir sürümünü sunmasına ve ardından MD5 hash’i hileli sertifikayla çakışan yeni bir sertifika oluşturmasına ve bunu gerçekmiş gibi görünmek için kullanmasına kapı açmasıdır. orijinal varlık.
Başka bir deyişle, kusur, ortada bir mallory sahnelemek için haydut bir araya giren kişi tarafından silah haline getirilebilir (MitM), Google Chrome’un eski bir sürümüne (sürüm 48 ve öncesi) güvenen kullanıcılara saldırır ve yalnızca web tarayıcısının duyarlı sürümü kötü amaçlı sertifikaya güvendiği için oyuncunun seçtiği rastgele bir web sitesine yönlendirir.
Akamai, “Sertifikalar, çevrimiçi kimlik doğrulamasında önemli bir rol oynuyor ve bu güvenlik açığını saldırganlar için kazançlı hale getiriyor” dedi.
Kusurun sınırlı bir kapsamı olmasına rağmen, Massachusetts merkezli şirket “hala bu API’yi kullanan ve bu güvenlik açığından etkilenebilecek çok sayıda kod var ve Windows 7 gibi Windows’un durdurulan sürümleri için bile bir düzeltme eki garanti ediyor” dedi.
