Akamai araştırmacıları, Windows CryptoAPI’de ortak anahtar sertifikalarını doğrulayan kritik bir güvenlik açığı (CVE-2022-34689) için bir PoC istismarı yayınladı.
Microsoft, Ekim 2022’de savunmasız Windows ve Windows Server sürümleri için düzeltmeleri duyurduklarında, “Bir saldırgan, kimliklerini taklit etmek ve hedeflenen sertifika olarak kimlik doğrulama veya kod imzalama gibi eylemler gerçekleştirmek için mevcut bir genel x.509 sertifikasını manipüle edebilir.”
Güvenlik açığı aslında Ağustos 2022’de yamalandı, ancak güvenlik güncellemeleri geniş çapta uygulanmadan önce saldırganların uyarılmasını önlemek için varlığı yalnızca iki ay sonra ortaya çıktı.
CVE-2022-34689 hakkında
“Hatanın temel nedeni, MD5 tabanlı sertifika önbellek dizin anahtarının çarpışmasız olduğu varsayımıdır. Araştırmacılar Tomer Peled ve Yoni Rozenshein, 2009’dan beri MD5’in çarpışma direncinin kırıldığı biliniyor.
“Saldırı akışı iki yönlüdür. İlk aşama meşru bir sertifikanın alınmasını, değiştirilmesini ve değiştirilmiş versiyonun kurbana sunulmasını gerektirir. İkinci aşama, MD5’i değiştirilmiş yasal sertifikayla çakışan yeni bir sertifika oluşturmayı ve yeni sertifikayı orijinal sertifikanın konusunun kimliğini taklit etmek için kullanmayı içeriyor.”
Ancak bazı iyi haberler de var: CVE-2022-34689, Çin devlet destekli bilgisayar korsanları tarafından kullanılan benzer bir Windows CryptoAPI kimlik sahtekarlığı güvenlik açığı olan CVE-2020-0601 (“CurveBall” olarak da adlandırılır) kadar geniş çapta kullanılamaz. bir zamanlar 2020’de en çok yararlanılan ilk 10 güvenlik açığı arasındaydı.
CVE-2022-34689 istismarı
CVE-2022-34689’dan yararlanmak için, seçilen önek çarpışma saldırısını kolaylaştıracak şekilde oluşturulan ve doğru şekilde imzalanıp doğrulanan ilk sertifikanın CryptoAPI tarafından önbelleğe alınması gerekir, böylece ikinci sertifika (aynı MD5 ile) önceki parmak izi gibi), Microsoft önbelleğe alınmış sertifikaları yeniden kontrol etmediği için hemen güvenilebilir.
“ [CryptoAPI caching] mekanizma varsayılan olarak devre dışıdır. Bunu etkinleştirmek için uygulama geliştiricisinin, sonunda güvenlik açığı bulunan koda yol açan Windows API işlevi olan CertGetCertificateChain’e belirli parametreleri iletmesi gerekiyor.”
CryptoAPI’yi bu şekilde kullanan bazı uygulamalar buldular – Chrome’un eski sürümleri (v48 ve öncesi) ve Chromium tabanlı uygulamalar – ve başka uygulamalar da olduğuna inanıyorlar.
Şans eseri, CVE-2022-34689’dan başarılı bir şekilde yararlanmanın iki ön koşulu vardır: makine Windows çalıştırmalı ve Microsoft tarafından yayınlanmış yamaya sahip olmamalı ve CryptoAPI önbelleğe alma mekanizmasını kullanan bir uygulama çalıştırmalıdır.
Araştırmacılar, yöneticilere Microsoft tarafından Windows sunucuları ve uç noktalarda yayınlanan en son güvenlik düzeltme ekini uygulamalarını ve geliştiricilere, kullanmadan önce bir sertifikanın geçerliliğini kontrol etmek için diğer WinAPI’leri kullanmaya geçmelerini tavsiye ediyor.
Desteklenmeyen ancak yine de kullanılan Windows sürümlerinin de bir yama alması gerektiğini belirttiler, ancak Microsoft’un mevcut sınırlı kullanım kapsamı göz önüne alındığında bunları yayınlayacağından şüpheliyim.