Le code de preuve de concept (Poc) a été publié pour une faille de sécurité de haute gravité maintenant corrigée dans Windows CryptoAPI que la National Security Agency (NSA) des États-Unis et le National Cyber Security Center (NCSC) du Royaume-Uni ont signalé à Microsoft l’année dernière .
Suivi comme CVE-2022-34689 (score CVSS : 7,5), la vulnérabilité d’usurpation d’identité a été corrigée par le géant de la technologie dans le cadre des mises à jour du Patch Tuesday publiées en août 2022, mais n’a été divulguée publiquement que deux mois plus tard, le 11 octobre 2022.
« Un attaquant pourrait manipuler un public existant certificat x.509 pour usurper leur identité et effectuer des actions telles que l’authentification ou la signature de code en tant que certificat ciblé », Microsoft m’a dit dans un avis publié à l’époque.
Les CryptoAPI Windows offre une interface permettant aux développeurs d’ajouter des services cryptographiques tels que le chiffrement/déchiffrement des données et l’authentification à l’aide de certificats numériques à leurs applications.
La société de sécurité Web Akamai, qui libéré le PoC, m’a dit CVE-2022-34689 est enraciné dans le fait que le morceau de code vulnérable conçu pour accepter un certificat x.509 a effectué une vérification qui reposait uniquement sur l’empreinte MD5 du certificat.
MD5, un algorithme de résumé de message utilisé pour le hachage, est essentiellement cryptographiquement cassé depuis décembre 2008 en raison du risque de attaques d’anniversaireune méthode cryptanalytique utilisée pour trouver des collisions dans une fonction de hachage.
L’effet net de cette lacune est qu’elle ouvre la porte à un mauvais acteur pour servir une version modifiée d’un certificat légitime à une application victime, puis créer un nouveau certificat dont le hachage MD5 entre en collision avec le certificat truqué et l’utiliser pour se faire passer pour l’entité d’origine.
En d’autres termes, la faille pourrait être militarisée par un intrus voyou pour mettre en scène un mallory-in-the-middle (MitM) attaquent et redirigent les utilisateurs s’appuyant sur une ancienne version de Google Chrome (version 48 et antérieure) vers un site Web arbitraire choisi par l’acteur simplement parce que la version sensible du navigateur Web fait confiance au certificat malveillant.
« Les certificats jouent un rôle majeur dans la vérification d’identité en ligne, rendant cette vulnérabilité lucrative pour les attaquants », a déclaré Akamai.
Bien que la faille ait une portée limitée, la société basée dans le Massachusetts a souligné « il y a encore beaucoup de code qui utilise cette API et pourrait être exposé à cette vulnérabilité, justifiant un correctif même pour les versions abandonnées de Windows, comme Windows 7 ».