美國國家安全局(NSA)和英國國家網絡安全中心(NCSC)去年向微軟報告了Windows CryptoAPI的一個高嚴重性安全缺陷,該缺陷現已被修複,其概念證明(Poc)代碼已經釋出。
作為CVE-2022-34689(CVSS評分:7.5),該欺騙漏洞被科技巨頭作為2022年8月釋出的 "更新檔星期二 "更新的一部分加以解決,但兩個月後的2022年10月11日才被公開披露。
攻擊者可以操縱現有的公共x.509證書來欺騙他們的身份,并作為目标證書執行認證或代碼簽名等操作。
Windows CryptoAPI為開發者提供了一個接口,可以在他們的應用程式中添加加密服務,如資料的加密/解密和使用數字證書的認證。
CVE-2022-34689的根源在于,被設計用來接受x.509證書的脆弱代碼片斷進行的檢查完全依賴于證書的MD5指紋。
MD5是一種用于散列的消息摘要算法,由于生日攻擊的風險,截至2008年12月,該算法基本上已被加密破解,這是一種用于尋找散列函數中的碰撞的加密分析方法。
這一缺陷的淨影響是,它為不良行為者打開了大門,使其能夠向受害者應用程式提供一個合法證書的修改版本,然後建立一個新的證書,其MD5哈希值與被操縱的證書相碰撞,并使用它來僞裝成原始實體。
換句話說,這個缺陷可以被用來中間人攻擊(MitM),并将依賴舊版谷歌浏覽器(48版和更早的版本)的使用者重定向到該行為者選擇的任意網站,隻因為易受影響的網絡浏覽器版本信任惡意證書。
證書在線上身份驗證中發揮着重要作用,這使得這一漏洞對攻擊者來說有利可圖。
仍有很多代碼使用這個API,可能會暴露在這個漏洞之下,即使是已停産的Windows版本,如Windows 7,也需要打更新檔"。