Suçlular, NSA tarafından keşfedilen bu Microsoft hatasından yararlanmaya devam edebilir • The Register


Akamai’nin araştırmacılarına göre, çoğu Windows destekli veri merkezi sistemi ve uygulaması, NSA ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından ifşa edilen ve Microsoft tarafından geçen yıl yamalanan CryptoAPI’deki bir sahtekarlık hatasına karşı savunmasız olmaya devam ediyor.

CryptoAPI, geliştiricilerin kriptografi kullanarak Windows tabanlı uygulamaları güvenli hale getirmelerine yardımcı olur; API, örneğin sertifikaları doğrulamak ve kimlikleri doğrulamak için kullanılabilir.

Söz konusu güvenlik açığı (CVE-2022-34689) kötü niyetli kişiler tarafından kötü amaçlı yürütülebilir dosyaları dijital olarak imzalamak için kötüye kullanılabilir; bu şekilde, Windows ve uygulamaları kandırarak dosyaların güvenilir, meşru kaynaklardan geldiğine ve açılıp kurulabileceğine inandırılabilir. Bundan yararlanmak, söz konusu dosyaların kurbanların makinelerine alınmasını ve çalıştırılmasını içerecektir.

Alternatif olarak, bir saldırgan, başka bir kuruluşa ait gibi görünen bir TLS sertifikası oluşturabilir ve bir uygulamayı, sertifikayı analiz etmek için CryptoAPI kullanıyorsa, sertifikaya güvenmesi için kandırabilir. Uygulama, saldırganın sahte kuruluş olduğuna inanıyor. Hata, bir uzaktan kod yürütme kusuru değildir; Windows’ta kimlik ve sertifika şifreleme kontrolleri bağlamında, birinin bir uygulamanın veya işletim sisteminin başka biri gibi davranmasına izin veren bir güvenlik açığıdır.

Microsoft, güvenlik açığını Ağustos 2022’de sessizce yamaladı; kritik olarak etiketlenmesine rağmen, 10 üzerinden yalnızca 7,5’lik bir CVSS önem puanı verildi. ifşa Ekim ayındaki hatanın ardından BT devi, güvenlik kusurunun istismar edilmediğini ve kamuya açıklanmadığını, ancak “istismarın daha olası” olduğunu söyledi.

Ve şimdi Akamai’nin sahip olduğu yayınlanmış kavram kanıtı istismarı gösteren kod, Microsoft’un korkuları belki de gerçeğe biraz daha yaklaşıyor. PoC demosu, tarayıcının bir HTTPS web sitesi için yasal sunucuyla konuştuğunu, ancak aslında bir kötü niyetli sahte PoC bundan daha kullanışlı olamaz.

Akamai ayrıca, incelediği dünyanın dört bir yanındaki veri merkezlerindeki halka açık Windows destekli sunucuların büyük çoğunluğunun açığı kapatacak şekilde yamalanmadığını iddia etti. Bug’un pratikte kullanılabilmesi için kutu üzerinde CryptoAPI kullanan ve onu sızdırmaya açık bir şekilde çalıştıran bir uygulama veya hizmet olması gerektiğini not ediyoruz. Bir saldırının başarılı olabilmesi için,

Akamai güvenlik araştırmacıları Tomer Peled ve Yoni Rozenshein, “Veri merkezlerindeki görünür cihazların yüzde birinden daha azının yamalanmış olduğunu ve geri kalanı bu güvenlik açığından yararlanmaya karşı korumasız hale getirdiğini bulduk.”

Bunun, Windows veri merkezi uç noktalarının yüzde 99’unun (neredeyse tümünün) savunmasız kaldığı anlamına gelip gelmediği sorulduğunda Peled, şu açıklamayı yaptı: Kayıt:

Araştırmacılar, CryptoAPI’yi bu kimlik sahtekarlığı saldırısına karşı savunmasız bir şekilde kullanan savunmasız uygulamalar için etrafa baktıklarını söylediler. İkili, “Şimdiye kadar, Chrome’un eski sürümlerinin (v48 ve öncesi) ve Chromium tabanlı uygulamaların kötüye kullanılabileceğini gördük.” yazdı. “Vahşi doğada daha savunmasız hedefler olduğuna inanıyoruz ve araştırmamız hala devam ediyor.”

Orada bir video [MP4] Chrome’a ​​karşı istismarın gösterilmesini izleyebilirsiniz, ancak işte bu sahtekarlık saldırısının kısa versiyonu, basitçe ifade edilir.

Microsoft, güvenlik sertifikalarını dizine eklemek ve karşılaştırmak için MD5 karma algoritmasını kullandı. MD5’i çarpışma denen şeyle kırmak önemsizdir: iki farklı veri bloğunun aynı MD5 hash değeriyle sonuçlandığı bir durum. Dahası, Microsoft bir sertifikanın MD5 parmak izinin en önemsiz dört baytını dizine eklemek için kullandı.

Yani yapmanız gereken şudur: Windows CryptoAPI kullanan Chrome 48 gibi bir uygulamayı, kullanıcının gerçekten istediği web sitesiymiş gibi davranmak isteyen bir ortadaki adam sunucusuna bağlanması için kandırın. Kötü amaçlı sunucu, kimliğine bürünülmüş web sitesinin yasal HTTPS sertifikasını tarayıcıya gönderir, bu sertifika onu işlenmek üzere CryptoAPI’ye iletir ve sertifika, kullanıcının PC’sindeki bellekte önbelleğe alınır.

Sertifika, indeks olarak sertifika verilerinin MD5 parmak izinin bir kısmı kullanılarak bu önbellekte saklanır. Bu arada kötü niyetli sunucu, yasal sertifikayı web sitesi gibi görünebilecek şekilde değiştirir ve bu yeni kurcalanmış kötü sertifikanın, gerçek olanla aynı MD5 hesaplı önbellek dizinine yol açmasını sağlar. Sunucu, tarayıcının web sitesinin sertifikasını tekrar istemesine neden olur ve bu noktada sunucu kötü sertifikayı teslim eder.

CryptoAPI kitaplığı, kötü sertifika için MD5 parmak izini ve önbellekteki dizinini hesaplar, o indeks için önbellekte zaten geçerli bir sertifika olduğunu görür ve bu nedenle kötü sertifikaya güvenir. Şimdi sistemi kötü niyetli sertifikanın gerçek olduğunu düşünmesi için kandırdınız. Bunun gerçek dünyada gerçek zarara neden olmak için nasıl kullanıldığı… Pekala, yetenekli ve kararlı bir suçlu olmanız gerekir ve muhtemelen hedef alınması daha kolay güvenlik zayıflıkları vardır. Tüm teknik ayrıntılar için Akamai’nin yazımı için yukarıdaki bağlantıya bakın.

Araştırmacı ikili, “Hatanın temel nedeni, MD5 tabanlı sertifika önbellek dizin anahtarının çarpışmasız olduğu varsayımıdır.” “2009’dan beri, MD5’in çarpışma direncinin kırık.”

NSA’nın 2020’de şu şekilde izlenen benzer bir CryptoAPI hatası bulduğunu ve Microsoft’a ifşa ettiğini belirtmekte fayda var: CVE-2020-0601 bu da kimlik sahtekarlığına yol açabilir.

Ancak, eski güvenlik açığı yama uygulanmamış birçok sistemi etkiledi ve arasında favori oldu Çin devlet destekli suçlularAkamai’ye göre, bu son “CVE-2022-34689 daha fazla ön koşula sahip ve dolayısıyla daha sınırlı bir savunmasız hedef kapsamına sahip”.

Araştırmacılar, “Bununla birlikte, bu API’yi kullanan ve bu güvenlik açığına maruz kalabilecek çok sayıda kod var ve Windows 7 gibi Windows’un durdurulan sürümleri için bile bir düzeltme eki garanti ediyor” dedi.

Kayıt Microsoft’a araştırmadan çıkardıkları sonuçların neler olduğunu ve BT devinin eski Windows sürümleri için bir yama yayınlamayı planlayıp planlamadığını sordu. Bunun yerine bir sözcü bize şunları söyledi: “Salı günü normal Güncelleme sürecimizin bir parçası olarak geçen yıl bir güvenlik güncellemesi yayınladık. Müşterilerin güvende ve korunmaya devam etmeleri için güncellemeyi uygulamalarını öneriyoruz.” ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2023/01/26/windows_cryptoapi_bug_akamai/

Yorum yapın