Araştırmacılar, Windows CryptoAPI’de NSA ve Ulusal Siber Güvenlik Merkezi’nin (NCSC) geçen yıl Microsoft’a bildirdiği, genel bir x.509 sertifika sahteciliği güvenlik açığı için bir kavram kanıtı (PoC) istismarı geliştirdiler.
Microsoft, CVE-2022-34689 olarak izlenen hatayı Ağustos 2022 aylık Yama Salı güvenlik güncellemesinde sessizce yamaladı, ancak bunu yalnızca Ekim ayında kamuya açıkladı. O sırada, güvenlik açığını saldırganların yararlanma olasılığının daha yüksek olduğu bir güvenlik açığı olarak değerlendirdi. Ancak hata veya bir saldırganın bundan nasıl yararlanabileceği hakkında yetersiz ayrıntılar sunuyordu.
“Yama yayınlandığında, bu hata eksikti. [Microsoft’s] sürüm notları,” diyor Akamai’de güvenlik araştırmacısı Yoni Rozenshein. “Geçmişe dönük olarak iki ay sonra, Ekim ayında duyuruldu ve güvenlik açığını ve nasıl kullanıldığını açıklayan hiçbir bilgi yok gibi görünüyor.”
CVE-2022-34689 için Kavram Kanıtı Saldırısı
Son birkaç aydır güvenlik açığını analiz eden Akamai’deki araştırmacılar, bu hafta güvenlik açığı için geliştirdikleri bir saldırının ayrıntılarını yayınladılar. kötü niyetli eylemlerden
Rozenshein, “Savunmasız tarayıcı, bağlantı tamamen saldırgan tarafından kontrol edilse bile güvenli bir bağlantı olduğunu gösteren yeşil kilit simgesini gösteriyor” diyor. Akamai’nin PoC’sini böcek için ilk olarak tanımladı.
CryptoAPI, geliştiricilerin uygulamaları için kriptografi desteğini etkinleştirmek için kullandıkları bir Windows uygulama programlama arabirimidir. CryptoAPI’nin rollerinden biri, dijital sertifikaların gerçekliğini doğrulamaktır. Rozenshein, güvenlik açığının bulunduğu yerin bu işlevde olduğunu söylüyor.
Bir sertifikanın orijinalliğini doğrulamak için, CryptoAPI önce sertifikanın alıcı uygulamanın sertifika önbelleğinde var olup olmadığını kontrol eder. Varsa, CryptoAPI alınan sertifikayı doğrulanmış olarak kabul eder. Microsoft’un yamasından önce CryptoAPI, alınan bir sertifikanın zaten sertifika önbelleğinde olup olmadığını yalnızca MD5 karma parmak izlerini karşılaştırarak belirledi. Alınan sertifikanın MD5 parmak izi önbellekteki bir sertifikanın MD5 parmak iziyle eşleşirse, iki sertifikanın gerçek içeriği tam olarak eşleşmese bile CryptoAPI alınan sertifikayı doğrulanmış olarak kabul eder.
Bu, siber saldırganların bir sahtekarlık sertifikası sunması için kapıyı açar.
MD5 Parmak İzleri: Yanlış Bir Varsayım
Akamai raporunda, yamadan önce, “Microsoft, önbelleğe alınan sertifikaların geçerliliğine doğal olarak güvenir ve önbellekte bir bitiş sertifikası bulunduktan sonra herhangi bir ek geçerlilik kontrolü yapmaz” dedi. Akamai, bu kendi başına makul bir varsayım olsa da, CryptoAPI’nin MD5 parmak izleri eşleşirse iki uç sertifikanın aynı olduğuna olan güveninin “istismar edilebilecek yanlış bir varsayım olduğunu ve yamanın doğuşunu oluşturduğunu” belirtti.
Akamai araştırmacıları, bir saldırganın bu sorundan nasıl yararlanabileceğini kanıtlamak için önce biri yasal olarak imzalanmış ve diğeri kötü amaçlı olmak üzere iki sertifika oluşturdu ve her ikisinin de aynı MD5 parmak izlerine sahip olmasını sağlayacak şekilde donattı. Ardından, CryptoAPI’nin güvenlik açığı bulunan bir sürümüne (bu durumda Chrome’un eski bir sürümü — v48) sahip bir uygulamaya ilk, meşru sertifikayı sunmanın bir yolunu buldular. Uygulama sertifikayı doğruladıktan ve sertifikayı son sertifika önbelleğinde sakladıktan sonra, Akamai bir saldırganın ortadaki adam saldırısını kullanarak aynı uygulamaya ikinci kötü amaçlı sertifikayı nasıl sunabileceğini ve sertifikanın gerçek olduğunun doğrulanmasını nasıl sağlayabileceğini gösterdi. .
Rozenshein, saldırının çalışması için iki koşulun olması gerektiğini söylüyor. Birincisi, uygulamanın Microsoft’un geçen Ağustos ayında yayımladığı Windows düzeltme ekinin eksik olması gerektiğidir. Diğeri, uygulamanın sertifika doğrulaması için CryptoAPI kullanması ve “son sertifika önbelleğe alma” adı verilen bir CryptoAPI özelliğini etkinleştirmesi gerektiğidir. Özellik, CryptoAPI’de varsayılan olarak devre dışıdır, ancak bazı uygulamalar performansı artırmak için bu özelliği etkinleştirir. Bir kuruluş bunlara yama uygulamadıysa, saldırganların hedefleyebileceği uygulamalar bunlardır.
Rozenshein, “Hala aktif olarak araştırma yapıyor ve daha savunmasız uygulamalar bulmaya çalışıyoruz” diyor.
Yararlanması Kolay
Rozenshein, bir ağ üzerinde kontrolü olan bir saldırganın bu kusurdan çok fazla zorluk çekmeden yararlanabileceğini söylüyor. “Bir MD5 çakışmasını hesaplamaları gerekecek, ancak bu önceden, ucuza ve yalnızca birkaç saat içinde yapılabilir.” MD5 parmak izi.
Rozenshein, MD5 parmak izi hesaplandıktan sonra saldırının kolayca gerçekleştirilebileceğini söylüyor. Saldırganın saldırının sonraki iki aşamasını (iki sertifikaya hizmet ederek) nasıl gerçekleştireceği, hedeflenen uygulamanın türüne bağlıdır ve ekliyor: “Web tarayıcıları söz konusu olduğunda, bağlantıyı ilk aşamadan sonra sıfırlamanın yeterli olduğunu bulduk. tamamlanması, tarayıcının hemen yeniden bağlanmayı denemesine neden olur. Bu, saldırının ikinci aşamaya geçtiği zamandır.”
Microsoft, Akamai’nin araştırması veya PoC saldırısı hakkında yorum talebine hemen yanıt vermedi.
CVE-2022-34689, NSA’nın son yıllarda Microsoft’a ifşa ettiği CryptoAPI’deki ikinci kusurdur. 2020’de, CVE-2020-061 olarak izlenen benzer bir sorun veya Curveball güvenlik açığı bildirdiler. Akamai, daha yakın zamanda açıklanan kusurun CurveBall’dan daha az tehdit oluşturduğunu değerlendirdi çünkü ona bağlı daha fazla önkoşul var ve bu nedenle daha sınırlı bir savunmasız hedef kapsamı var.