Akamai araştırmacıları, NSA ve İngiltere’nin NCSC’si tarafından keşfedilen ve MD5 çarpışma sertifikası sahtekarlığına izin veren kritik bir Windows CryptoAPI güvenlik açığı için kavram kanıtı istismar kodu yayınladı.
CVE-2022-34689 olarak izlenen bu güvenlik açığı, Ağustos 2022’de yayınlanan güvenlik güncellemeleriyle giderildi, ancak Microsoft bunu yalnızca danışma belgesinin ilk yayınlandığı Ekim ayında kamuoyuna açıkladı.
Microsoft, “Bir saldırgan, kimliklerini taklit etmek ve hedeflenen sertifika olarak kimlik doğrulama veya kod imzalama gibi eylemler gerçekleştirmek için mevcut bir genel x.509 sertifikasını manipüle edebilir.”
Kimliği doğrulanmamış saldırganlar, düşük karmaşıklıktaki saldırılarda bu hatayı (Redmond tarafından kritik önem derecesi olarak etiketlenir) kullanabilir.
Bugün, Akamai bulut güvenlik firmasındaki güvenlik araştırmacıları, savunucuların saldırılara karşı savunmasız CryptoAPI kitaplığı sürümlerini tespit etmelerine yardımcı olmak için bir kavram kanıtı (PoC) istismarı yayınladılar ve bir OSQuery paylaştılar.
Araştırmacılar, “Doğal ortamda CryptoAPI’yi bu kimlik sahtekarlığı saldırısına karşı savunmasız olacak şekilde kullanan uygulamaları aradık. Şimdiye kadar, Chrome’un eski sürümlerinin (v48 ve öncesi) ve Chromium tabanlı uygulamaların kötüye kullanılabileceğini bulduk.” dedim.
“Vahşi doğada daha savunmasız hedefler olduğuna inanıyoruz ve araştırmamız hâlâ devam ediyor. Veri merkezlerindeki görünür cihazların %1’inden daha azına yama uygulanmış olduğunu ve geri kalanını bu güvenlik açığından yararlanmaya karşı korumasız hale getirdiğini bulduk.”
Saldırganlar bu güvenlik açığından yararlanarak HTTPS bağlantıları ve imzalı yürütülebilir kod, dosyalar veya e-postalar için güven doğrulamasını etkileyebilir.
Örneğin, tehdit aktörleri bu güvenlik açığından yararlanarak kötü amaçlı yürütülebilir dosyaları sahte bir kod imzalama sertifikasıyla imzalayarak dosyanın güvenilir bir kaynaktan geldiği izlenimini verebilir.
Sonuç olarak, dijital imzanın saygın ve güvenilir bir sağlayıcıdan geldiği düşünülürse, hedeflerin dosyanın aslında kötü niyetli olduğuna dair hiçbir göstergesi olmayacaktır.
CVE-2022-34689 açıklarını kullanan bir saldırı başarılı olursa, saldırganlara ortadaki adam saldırıları gerçekleştirme ve etkilenen yazılıma yönelik kullanıcı bağlantılarındaki gizli bilgilerin şifresini çözme yeteneği de sağlayabilir. Windows’un CryptoAPI şifreleme kitaplığı.
“Hala bu API’yi kullanan ve bu güvenlik açığından etkilenebilecek çok sayıda kod var ve Windows 7 gibi Windows’un durdurulan sürümleri için bile bir yama yapılmasını garanti ediyor. Windows sunucularınıza ve uç noktalarınıza yayınlanan en son güvenlik düzeltme ekiyle yama uygulamanızı öneririz. Microsoft tarafından,” dedi Akamai.
“Geliştiriciler için, bu güvenlik açığını azaltmak için başka bir seçenek, bir sertifikayı kullanmadan önce CertVerifyCertificateChainPolicy gibi diğer WinAPI’leri kullanarak sertifikanın geçerliliğini iki kez kontrol etmektir. Son sertifika önbelleğini kullanmayan uygulamaların savunmasız olmadığını unutmayın.”
NSA, iki yıl önce çok daha geniş kapsamlı ve potansiyel olarak daha savunmasız hedefleri etkileyen başka bir Windows CryptoAPI sahtekarlığı hatası (CVE-2020-0601) bildirdi.
Artık CurveBall olarak bilinen güvenlik açığı için PoC istismar kodu, İsviçre siber güvenlik ekibi Kudelski Security ve güvenlik araştırmacısı Oliver Lyak tarafından 24 saat içinde yayınlandı.
O sırada CISA, federal kurumlara, şimdiye kadarki ikinci Acil Durum Direktifinde, etkilenen tüm uç noktalara on iş günü içinde yama yapma emri verdi.