Akamai frigiver udnyttelse til Microsoft-fejl, der tillader angriber at maskere sig som legitim enhed
Forskere fra Akamai har frigivet et proof-of-concept for en sårbarhed, der påvirker et Microsoft-værktøj, der gør det muligt for Windows ‘applikationsprogrammeringsgrænseflade at håndtere kryptering.
Sårbarheden, CVE-2022-34689, blev opdaget af Det Forenede Kongeriges Nationale Cybersikkerhedscenter og National Security Agency. Det påvirker et værktøj kaldet CryptoAPI og giver en angriber mulighed for at maskere sig som en legitim enhed. Fejlen, der bærer en sårbarhedsscore på 7.5 ud af en mulig 10, blev lappet i august 2022, men først afsløret af Microsoft i oktober.
Microsoft reagerede ikke på anmodninger om kommentarer om tidsforskellen.
Akamai-forskere forklarede, at CryptoAPI er “de facto API i Windows til håndtering af alt relateret til kryptering.”
“Det håndterer især certifikater – fra læsning og parsing af dem til validering af dem mod verificerede certifikatmyndigheder (CA’er). Browsere bruger også CryptoAPI til TLS [Transport Layer Security] certifikatvalidering – en proces, der resulterer i låseikonet, som alle læres at kontrollere,”
“Som man kan forestille sig, er en sårbarhed i verifikationsprocessen for certifikater meget lukrativ for angribere, da det giver dem mulighed for at maskere deres identitet og omgå kritisk sikkerhedsbeskyttelse.”
forklarede forskerne.
Akamai-forsker Yoni Rozenshein sagde, at da patchen blev frigivet, manglede fejlen i udgivelsesnoterne.
Da det endelig blev annonceret med tilbagevirkende kraft to måneder senere, var der ingen tilgængelige oplysninger, der beskrev sårbarheden, og hvordan den udnyttes.
“På trods af at dette er måneder efter patchen, er Akamai-forskere de første til fuldt ud at analysere og give en PoC til denne interessante og komplekse fejl,” sagde Rozenshein.
“For at udnytte denne sårbarhed skal to ting være sande: Maskinen mangler Windows-patchen, der blev frigivet i august 2022, og applikationen skal bruge CryptoAPI til certifikatverifikation og aktivere en CryptoAPI-funktion kaldet ‘end certificate caching.’ Dette var tænkt som en præstationsfremmende funktion, men en fejl i implementeringen får den til at være sårbar.”
Husk sårbarheden i CryptoAPI, som kan resultere i, at en angriber maskerer sig som en legitim enhed?
Akamai-forskere analyserede det og har fundet en måde at udnytte det på.
Se opskrivningen her:https://t.co/O649fnWKjc pic.twitter.com/2VAFMgodWV
— Akamai Security Research (@akamai_research) 25. januar 2023
I et blogindlæg sagde Akamai-forskere, at fejlen kræver at tage “et legitimt certifikat, ændre det og servere den ændrede version til offeret.” Derfra oprettes et nyt certifikat, der giver en angriber mulighed for at forfalske identiteten af det originale certifikats emne.
Akamai sagde, at det har fundet ud af, at gamle versioner af Chrome – v48 og tidligere – og Chromium-baserede applikationer kan udnyttes ved hjælp af CVE-2022-34689. Men forskerne mener, at der er andre sårbare mål i miljøet.
“Vi fandt ud af, at færre end 1% af de synlige enheder i datacentre er patched, hvilket gør resten ubeskyttet mod udnyttelse af denne sårbarhed,”
sagde Akamai-forskere.
Sårbarheden er især bekymrende, tilføjede de, på grund af hvor vigtige certifikater er for identitetsbekræftelse online, hvilket gør det til en potentielt lukrativ fejl for angreb.
Mens fejlen har et begrænset omfang, sagde Akamai, at der stadig kan være “en masse kode, der bruger denne API og kan blive udsat for denne sårbarhed, hvilket berettiger en patch selv for ophørte versioner af Windows, som Windows 7.”
Kilde: Akamai
Fotokredit: Microsoft
