Exploit lanzado para error crítico de suplantación de Windows CryptoAPI

Los investigadores de Akamai han publicado un código de explotación de prueba de concepto para una vulnerabilidad crítica de Windows CryptoAPI descubierta por la NSA y el NCSC del Reino Unido que permite la falsificación del certificado MD5.

Suivie sous le nom de CVE-2022-34689, cette faille de sécurité a été corrigée avec des mises à jour de sécurité publiées en août 2022, mais Microsoft ne l’a rendue publique qu’en octobre, lorsque l’avis a été publié por primera vez.

“Un atacante podría manipular un certificado x.509 público existente para hacerse pasar por él y realizar acciones como autenticación o firma de código como el certificado de destino”, dijo Microsoft. Explique.

Los atacantes no autenticados pueden explotar este error (marcado por Redmond como crítico) en ataques de baja complejidad.

Hoy, los investigadores de seguridad de la empresa de seguridad en la nube Akamai publicaron un prueba de concepto (PoC) operar y compartió un OSQuery para ayudar a los defensores a detectar versiones de la biblioteca CryptoAPI vulnerables a ataques.

“Hemos estado buscando aplicaciones en la naturaleza que usen CryptoAPI de una manera que sea vulnerable a este ataque de suplantación de identidad. Hasta ahora hemos encontrado que las versiones anteriores de Chrome (v48 y anteriores) y las aplicaciones basadas en Chromium pueden ser explotadas”. los investigadores dijeron.

“Creemos que hay objetivos más vulnerables en la naturaleza y nuestra investigación aún está en curso. Hemos encontrado que menos del 1% de los dispositivos visibles en los centros de datos están parcheados, dejando al resto desprotegido contra el ataque de explotación de esta vulnerabilidad”.

Al explotar esta vulnerabilidad, los atacantes pueden afectar la validación de confianza para las conexiones HTTPS y el código ejecutable, los archivos o los correos electrónicos firmados.

Por ejemplo, los piratas informáticos podrían aprovechar esta vulnerabilidad para firmar ejecutables maliciosos con un certificado de firma de código falsificado, haciendo que el archivo parezca provenir de una fuente confiable.

Como resultado, los objetivos no tendrían indicios de que el archivo es realmente malicioso, ya que la firma digital parece ser de un proveedor confiable y de buena reputación.

Si un ataque que utiliza un exploit CVE-2022-34689 tiene éxito, también podría proporcionar a los atacantes la capacidad de realizar ataques de intermediarios y descifrar información confidencial sobre los inicios de sesión de los usuarios en el software afectado, como los navegadores web que use la biblioteca de criptografía CryptoAPI de Windows.

“Todavía hay una gran cantidad de código que usa esta API y podría estar expuesto a esta vulnerabilidad, lo que justifica un parche incluso para versiones descontinuadas de Windows, como Windows 7. Recomendamos que parchee sus servidores y puntos finales de Windows con el último parche de seguridad publicado por Microsoft”, dijo Akamai.

“Otra opción para que los desarrolladores mitiguen esta vulnerabilidad es usar otras WinAPI para verificar la validez de un certificado antes de usarlo, como CertVerifyCertificateChainPolicy. Tenga en cuenta que las aplicaciones que no usan el almacenamiento en caché del certificado final no son vulnerables”.

la NSA reportado otra falla de suplantación de Windows CryptoAPI (CVE-2020-0601) hace dos años, con un alcance mucho más amplio y que afecta a objetivos potencialmente más vulnerables.

Código de explotación de PoC para la vulnerabilidad, ahora conocido como curvabolaha sido publicado dentro de las 24 horas por el equipo suizo de ciberseguridad Seguridad Kudelski y el investigador de seguridad Oliver Lyak.

En ese momento, CISA ordenó a las agencias federales reparar todas las terminales afectadas dentro de los diez días hábiles en su segundo Directiva de emergencia.