アカマイの研究者は、NSA と英国の NCSC によって発見された Windows CryptoAPI の重大な脆弱性について、概念実証のエクスプロイト コードをリリースしました。これにより、MD5 衝突による証明書のなりすましが可能になります。
CVE-2022-34689 として追跡されたこのセキュリティ上の欠陥は、2022 年 8 月にリリースされたセキュリティ更新プログラムで解決されましたが、Microsoft がこれを公開したのは、アドバイザリが最初に公開された 10 月のことでした。
「攻撃者は、既存の公開 x.509 証明書を操作して ID を偽装し、標的の証明書として認証やコード署名などのアクションを実行する可能性があります」と Microsoft は説明しています。
認証されていない攻撃者は、複雑さの低い攻撃でこのバグ (Redmond によって重大な重大度としてタグ付けされています) を悪用できます。
今日、Akamai クラウド セキュリティ企業のセキュリティ研究者は、 概念実証 (PoC)エクスプロイトを公開し、OSQuery を共有して、攻撃に対して脆弱な CryptoAPI ライブラリ バージョンを防御者が検出できるようにしました。
「このスプーフィング攻撃に対して脆弱な方法で CryptoAPI を使用するアプリケーションを実際に探しました。これまでのところ、古いバージョンの Chrome (v48 以前) と Chromium ベースのアプリケーションが悪用される可能性があることがわかりました」 と研究者は述べています。 と言った。
「私たちは、より脆弱なターゲットが実際に存在すると考えており、調査はまだ進行中です。データセンターで目に見えるデバイスの 1% 未満がパッチを適用されており、残りのデバイスはこの脆弱性の悪用から保護されていないことがわかりました。」
攻撃者は、この脆弱性を悪用して、HTTPS 接続および署名付きの実行可能コード、ファイル、または電子メールの信頼の検証に影響を与える可能性があります。
たとえば、攻撃者はこの脆弱性を利用して、偽のコード署名証明書を使用して悪意のある実行可能ファイルに署名し、そのファイルが信頼できるソースからのものであるかのように見せかける可能性があります。
その結果、デジタル署名が評判の良い信頼できるプロバイダーからのものであるように見えても、ターゲットはファイルが実際に悪意のあるものであるという兆候を知りません。
CVE-2022-34689 エクスプロイトを使用した攻撃が成功した場合、攻撃者は中間者攻撃を実行し、影響を受けるソフトウェアへのユーザー接続に関する機密情報を解読できるようになる可能性があります。 Windows の CryptoAPI 暗号化ライブラリ。
「この API を使用し、この脆弱性にさらされる可能性があるコードはまだたくさんあります。Windows 7 などの廃止されたバージョンの Windows に対してもパッチを適用する必要があります。リリースされた最新のセキュリティ パッチを Windows サーバーとエンドポイントに適用することをお勧めします。 Microsoft によるものです」と Akamai は述べています。
「開発者にとって、この脆弱性を緩和する別のオプションは、CertVerifyCertificateChainPolicy など、他の WinAPI を使用して、証明書を使用する前にその有効性を再確認することです。エンド証明書キャッシュを使用しないアプリケーションは脆弱ではないことに注意してください。」
NSA は2 年前に別の Windows CryptoAPI スプーフィングの欠陥 (CVE-2020-0601) を報告しました。これは、はるかに広い範囲で、より潜在的に脆弱なターゲットに影響を与えます。
現在CurveBallとして知られているこの脆弱性の PoC エクスプロイト コードは、スイスのサイバーセキュリティ企業であるKudelski Securityとセキュリティ研究者の Oliver Lyak によって 24 時間以内にリリースされました。
当時、CISA は、2 回目の緊急指令で、影響を受けるすべてのエンドポイントに 10 営業日以内にパッチを適用するよう連邦機関に命じました。
Comments