Akamai araştırmacıları, Windows CryptoAPI’de Ulusal Güvenlik Ajansı (NSA) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) tarafından tanımlanan önemli bir güvenlik açığı için bir tanıtım yararlanma kodu sağladı. İstismar, MD5 çakışmaları kullanılarak sertifikaların sahteciliğine izin verir.
Ağustos 2022’de Microsoft, CVE-2022-34689 olarak tanımlanan bir güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı, ancak şirket, bir danışma belgesi yayınladığı aynı yılın Ekim ayına kadar kusuru kamuya duyurmadı.
CryptoAPI Sahtekarlığı Güvenlik Açığı
Bir tehdit aktörünün meşru bir x.509 sertifikasını başka birinin kimliğine bürünmek için değiştirmesi, böylece sertifikanın gerçek sahibiymiş gibi kimlik doğrulama veya imzalama kodu gibi eylemler gerçekleştirmesine izin vermesi mümkündür.
Microsoft’un önem derecesine göre kritik olarak sınıflandırdığı bu güvenlik açığı, herhangi bir kimlik doğrulaması gerektirmeyen saldırganlar tarafından kolayca kullanılabilir.
Akamai güvenlik araştırmacıları, saldırılara açık sistemlerin saptanmasına yardımcı olmak için hem bir açıktan yararlanma gösterimi yayınladı hem de bir OSQuery sağladı. PoC istismarının amacı, savunucuların CryptoAPI kitaplığının etkilenen sürümlerini belirlemesine yardımcı olmaktır.
Araştırmacılar, Chrome’un eski sürümlerinin (sürüm 48 ve altı) ve Chromium tabanlı uygulamaların bu istismar tarafından hedef alınabileceğini ortaya koyarken.
Vahşi doğada daha fazla sayıda savunmasız hedef olduğuna inanılıyor ve siber güvenlik uzmanları şu anda araştırmalarını sürdürmeye devam ediyor.
Veri merkezlerindeki görünür cihazlar arasında, %1’den daha azı bir yamayla açıklanıyor. Sistemlerin geri kalanına gelince, yama yapılmadıkları için bu güvenlik açığına karşı savunmasız kalırlar.
Kusur Nasıl Kullanılabilir?
Ön görüntü saldırısı olarak bilinen bir teknik, belirtilen bir MD5 değeriyle mükemmel şekilde eşleşen bir MD5 parmak izine sahip bir sertifika oluşturmak için kullanılır. Bugünün teknolojisiyle bile, hesaplamalı olarak elde edilmesi imkansız olarak kabul edilir.
Aynı MD5 parmak izleriyle sonuçlanan belirli önekleri seçerek iki farklı sertifika oluşturmak mümkündür. Bu taktik, “seçilmiş önek çarpışması” saldırısı olarak bilinir.
Bu, bu yolu seçersek, sonunda kurban uygulamaya iki sertifika sağlamamız gerekeceği anlamına gelir.
Seçilmiş bir ön ek çarpışma saldırısı, uygun şekilde imzalanmış, doğrulanmış ve saklanmış bir sertifika oluşturularak yürütülebilir. Bu sertifika, çarpışma saldırısını etkinleştirecek şekilde hazırlanmıştır.
İkinci sertifika ise tahrif edilmiş kimliğe sahiptir ve birinci sertifika ile aynı MD5 parmak izini paylaşır.
Bu güvenlik açığından yararlanmak, saldırganların HTTPS bağlantılarının ve imzalanmış yürütülebilir kod, dosya veya e-postaların güvenilirliğini baltalamasına olanak tanır. Doğrulama sürecini tehlikeye atabilir ve potansiyel olarak güvenlik ihlallerine neden olabilir.
Bu güvenlik açığından yararlanan siber suçlular, kötü amaçlı yürütülebilir dosyaları imzalamak için sahte bir kod imzalama sertifikası kullanabilir ve bu dosyaların saygın bir kaynaktan geliyormuş gibi görünmesini sağlayabilir. Bu taktik, kurbanları dosyaların yasal ve çalıştırmanın güvenli olduğuna inandırmak için kullanılabilir.
Bu güvenlik açığı, siber suçluların kötü amaçlı dosyaları sahte bir sertifikayla imzalayarak meşru göstermelerine ve dosyaların güvenilir bir kaynaktan geliyormuş gibi görünmesine olanak sağlayabilir.
Sonuç olarak, şüphelenmeyen kurbanların dosyaların tehlikeli olduğundan şüphelenmek için hiçbir nedenleri olmayacak ve onları yürütmek için kandırılabilecekler.
Öneri
Microsoft’un en son güvenlik yaması, Windows sunucusu ve uç noktaları için yayınlandı ve güvenlik analistleri, kullanıcılara Windows sunucularına ve uç noktalarına derhal yama uygulamalarını tavsiye ediyor.
Bu güvenlik açığına karşı korunmak için geliştiriciler, bir sertifikayı kullanmadan önce orijinalliğini doğrulamak için adımlar atabilir. Bir sertifikanın geçerli olduğundan emin olmak için CertVerifyCertificateChainPolicy gibi diğer WinAPI’leri kullanmak seçeneklerden biridir.
Son sertifika önbelleğini kullanmayan bir uygulama bu güvenlik açığından etkilenmez.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin